内容简介:mysql有着储存过程这个功能, 这次作者刚好遇到注入点在调用储存过程的sql注入.mysql可以通过以下语句创建一个储存过程sp_name是名字, 为IN的参数是入参,为OUT的参数为返回值
Mysql 储存过程注入
mysql有着储存过程这个功能, 这次作者刚好遇到注入点在调用储存过程的 sql 注入.
基本知识
mysql可以通过以下语句创建一个储存过程
CREATE PROCEDURE sp_name(IN param1 INT,OUT param2 INT) BEGIN # code END
sp_name是名字, 为IN的参数是入参,为OUT的参数为返回值
调用储存过程的语句
CALL sp_name(1);
注入分析
从语法我们可以分析出我们的输入可能出现在两处,和作为参数进入储存过程
CALL <储存过程名注入点>(<储存过程参数注入点>);
首先如果对参数过滤不严,无需进入储存过程就可以直接注入.用以下语句为例
CALL test([可控点])
由于是直接执行,所以我们可直接注入语句例如 (select 1)
.由于语法问题,这个括号是必须的,这语句就变成了
CALL test((select 1))
这种注入和普通注入差别不大,已有技巧基本可以套用.
如果参数不可控,但是方法名可控也可以进行注入.但是首先要得知一个存在的储存过程名,然后通过注释后续语句来进行自己语句
CALL [可控]()
示例poc
test((select updatexml(1,concat(0x7e,(select @@version),0x7e),1))) --
可以看到和参数注入差距不大,只是用于参数不可控,或被安全处理的情况.
最后一种可能,在储存过程中出现.虽然储存过程被认为非常安全,但是实际上如果编写不慎 例如进行动态sql拼接 还是会出现注入的.. 例如
# 来自网上的一个例子 _field和_table是参数
SET @strSql = CONCAT('SELECT ',_field,' FROM ',_table);
PREPARE stmt FROM @strSql;
EXECUTE stmt;
最后附上我遇上的一个漏洞代码
<?php
if (isset($_POST['mode'])) {
@$m = new mysqli('localhost', 'root', '123456', 'UseStudio_Develop');
/*省略错误处理*/
$ary = explode('&', $_POST['mode']);
if (count($ary) == 1) {
$sql = 'CALL ' . $m->real_escape_string($ary[0]) . '()';
} else {
$sql = 'CALL ' . $m->real_escape_string($ary[0]) . "('";
for ($i = 1; $i < count($ary); $i++) {
$sql.= $m->real_escape_string($ary[$i]);
if ($i < count($ary) - 1) {
$sql.= "','";
}
}
$sql.= "')";
}
//执行查询,获取结果集
$res = $m->query($sql);
// 省略返回的代码
}
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
测出转化率:营销优化的科学与艺术
【美】高尔德(Goward,C.) / 谭磊、唐捷译 / 电子工业出版社 / 2014-10-1 / 68.00元
本书作者通过已成功实现大幅提升转化率的案例,展示了大量以营销为核心的电子商务网站的测试设计方法及转化优化方案。书中作者强调了测试及优化思维的重要性,并就实现方法做了详细讲解。 通过本书,读者将学到如何能够在网站遇到发展和收入瓶颈时,测试出存在的问题并找到解决方案;如何可以深入地了解客户需求,并以此为基础优化网站,使其达到提升转化率的目的;如何提升网站的竞争优势,把在线营销渠道变成高效的转化通......一起来看看 《测出转化率:营销优化的科学与艺术》 这本书的介绍吧!
