Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

$
0
0

数据库安全防范之一种新的mysql下Update、Insert注入,目前我们一般通过报错和时间盲注来对update和insert语句进行SQL注入,下面我们来讲解一种新的获取数据的方法。

首先我们来看一个简单的例子,假设应用会将username字段的结果会返回给我们:

$query = "UPDATE users SET username = '$username' WHERE id = '$id';";

HTTP应用中的参数是这样的:

username=test&id=16

我最近研究的带内,带外攻击技巧刚好适用于这个场景,要理解我的技巧,我们可以先看下Mysql 是如何处理字符串的。在Mysql 中一个字符串等于 ‘0’,我们来看一下:


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

假如我们把字符串和数字相加,结果和0 加这个数字一样:


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

Mysql的这个属性给了我一些灵感,我们来看看BIGINT的最大值加上一个字符串会怎样?


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

结果是 ‘1.8446744073709552e19’,这表明字符串实际上作为八字节的DOUBEL类型来处理。


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

将一个DOUBLE类型和大数字相加会返回IEEE格式的值,为了解决这个问题我们可以使用OR。


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

现在我们得到了最大的64bit无符号的BIGINT值0xffffffffffffffff。我们需要注意通过OR获取数据时,这个值必须小于BIGINT(不能超过64bit)。

转换字符串为数字

为了获取数据我们可以将应用输出的字段转换为数字,然后再解码回来,如下步骤:

String -> Hexadecimal -> Decimal


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

通过SQL,python和Ruby等语言我们可以将数字转回字符串,如下:

Decimal -> Hexadecimal -> String


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

如上面提到的,Mysql中的最大值为BIGINT,我们不能超过它,也就是说每次提取的字符串不能超过8位。


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

4702111234474983745可以被解码为AAAAAAAA,如果再加一个A,我们就不能正确解码了,因为返回的结果会是无符号的BIGINT值0xffffffffffffffff。


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

如果需要获取的数据超过8个字节,我们需要使用substr()方法来将数据分片。

select conv(hex(substr(user(),1 + (n-1) * 8, 8 * n)), 16, 10);

n的取值为1、2、3…比如我们要获取的username长度超过8个字符,我们首先获取前八个字符,然后继续获取后面的8个直到得到NULL。


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

最后我们把user()函数获得的数据解码。


数据库安全防范之一种新的MySQL下Update、Insert注入 MySQL Update Insert注入 数据库 ...

注入技巧

获取表名

select conv(hex(substr((select table_name from information_schema.tables where table_schema=schema() limit 0,1),1 + (n-1) * 8, 8*n)), 16, 10);

Viewing all articles
Browse latest Browse all 12749

Trending Articles