描寫(xiě)s q l注入利用方法的文章數(shù)不勝數(shù)���,本文將描述一種比較特殊的場(chǎng)景。
細(xì)節(jié)
在一次測(cè)試中�,我碰到了一個(gè)s q l注入的問(wèn)題,在網(wǎng)上沒(méi)有搜到解決辦法�����,當(dāng)時(shí)的注入點(diǎn)是在 l i m i t關(guān)鍵字后面���,數(shù)據(jù)庫(kù)是M y S Q L 5.x,S Q L語(yǔ)句類(lèi)似下面這樣:
問(wèn)題的關(guān)鍵在于��,語(yǔ)句中有order by 關(guān)鍵字�,我們知道���,mysql 中在o r d e r b y 前面可以使用u n i o n 關(guān)鍵字���,所以如果注入點(diǎn)前面沒(méi)有o r d e r b y 關(guān)鍵字,就可以順利的使用u n i o n 關(guān)鍵字�����,但是現(xiàn)在的情況是��,注入點(diǎn)前面有o r d e r b y 關(guān)鍵字���,這個(gè)問(wèn)題在s t a c k o v e r f l o w 上和s l a . c k e r s上都有討論���,但是都沒(méi)有什么有效的解決辦法。
我們先看看 mysql 5.x 的文檔中的 s e l e c t 的語(yǔ)法:
l i m i t 關(guān)鍵字后面還有 P R O C E D U R E 和 I N T O 關(guān)鍵字��,i n t o 關(guān)鍵字可以用來(lái)寫(xiě)文件,但這在本文中不重要��,這里的重點(diǎn)是 P R O C E D U R E 關(guān)鍵字.M y S Q L默認(rèn)可用的存儲(chǔ)過(guò)程只有 A N A L Y S E (doc)����。
嘗試用這個(gè)存儲(chǔ)過(guò)程:
A N A L Y S E支持兩個(gè)參數(shù),試試兩個(gè)參數(shù):
依然無(wú)效�����,嘗試在 A N A L Y S E 中插入 sql 語(yǔ)句:
響應(yīng)如下:
事實(shí)證明�����,s l e e p 沒(méi)有被執(zhí)行��,最終�,我嘗試了如下p a y l o a d :
啊哈,上面的方法就是常見(jiàn)的報(bào)錯(cuò)注入����,所以,如果注入點(diǎn)支持報(bào)錯(cuò)����,那所有問(wèn)題都o(jì)k���,但是如果注入點(diǎn)不是報(bào)錯(cuò)的�����,還可以使用 t i m e - b a s e d 的注入����,p a y l o a d 如下:
有意思的是,這里不能用s l e e p而只能用 B E N C H M A R K�。
小編推薦閱讀
