描寫s q l注入利用方法的文章數(shù)不勝數(shù)�����,本文將描述一種比較特殊的場(chǎng)景����。
細(xì)節(jié)
在一次測(cè)試中�����,我碰到了一個(gè)s q l注入的問(wèn)題���,在網(wǎng)上沒(méi)有搜到解決辦法����,當(dāng)時(shí)的注入點(diǎn)是在 l i m i t關(guān)鍵字后面,數(shù)據(jù)庫(kù)是M y S Q L 5.x,S Q L語(yǔ)句類似下面這樣:
問(wèn)題的關(guān)鍵在于����,語(yǔ)句中有order by 關(guān)鍵字,我們知道�,mysql 中在o r d e r b y 前面可以使用u n i o n 關(guān)鍵字,所以如果注入點(diǎn)前面沒(méi)有o r d e r b y 關(guān)鍵字�����,就可以順利的使用u n i o n 關(guān)鍵字�,但是現(xiàn)在的情況是,注入點(diǎn)前面有o r d e r b y 關(guān)鍵字�,這個(gè)問(wèn)題在s t a c k o v e r f l o w 上和s l a . c k e r s上都有討論,但是都沒(méi)有什么有效的解決辦法��。
我們先看看 mysql 5.x 的文檔中的 s e l e c t 的語(yǔ)法:
l i m i t 關(guān)鍵字后面還有 P R O C E D U R E 和 I N T O 關(guān)鍵字�����,i n t o 關(guān)鍵字可以用來(lái)寫文件���,但這在本文中不重要,這里的重點(diǎn)是 P R O C E D U R E 關(guān)鍵字.M y S Q L默認(rèn)可用的存儲(chǔ)過(guò)程只有 A N A L Y S E (doc)���。
嘗試用這個(gè)存儲(chǔ)過(guò)程:
A N A L Y S E支持兩個(gè)參數(shù)��,試試兩個(gè)參數(shù):
依然無(wú)效����,嘗試在 A N A L Y S E 中插入 sql 語(yǔ)句:
響應(yīng)如下:
事實(shí)證明,s l e e p 沒(méi)有被執(zhí)行��,最終�,我嘗試了如下p a y l o a d :
啊哈,上面的方法就是常見(jiàn)的報(bào)錯(cuò)注入���,所以����,如果注入點(diǎn)支持報(bào)錯(cuò)�,那所有問(wèn)題都o(jì)k,但是如果注入點(diǎn)不是報(bào)錯(cuò)的���,還可以使用 t i m e - b a s e d 的注入���,p a y l o a d 如下:
有意思的是,這里不能用s l e e p而只能用 B E N C H M A R K�。
小編推薦閱讀
