Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题

目录

初探

真相渐现

延伸到SQL注入

字符串列数据提取

判断列名是否存在

新型万能密码


 

初探

有一天突然发现Mysql中一个有趣的现象:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第1张图片Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第2张图片

百思不得其解,想着是不是由于mysql的字符串转化数字的原因,于是试验了一下:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第3张图片

自动将字符串类型的"123"转为数字型的123,然后与1相加。

下面试验了数字与字符串掺杂的情况:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第4张图片

直接将首位的1给转化了,其余的字符串则忽略掉。

但若不是以字符串为开头则会失败,字符串"te1st2"、"test"转化数字失败则会返回0,与1相加刚好为1:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第5张图片Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第6张图片

 

 

真相渐现

通过上述试验得出结论:

当字符串与数字比较、相加时,字符串会自动转化为数字。

若字符串以数字开头,则会转化为该开头的数字;否则会转化失败,返回0

于是由下表简单地呈现:

原始语句 过程释义 结果 备注
select "test" = 1; select 0 = 1; 0 (False) "test"转化失败,返回0
select "test" = 0; select 0 = 0; 1 (True) "test"转化失败返回0,与0比较相等

值得一提的是,

  • 当等号两边都为字符串的时候,字符串不会转化为数字:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第7张图片

但是可以通过+0来强制转化类型:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第8张图片

  • 当在字符串与数字使用like进行比较时,若字符串不是纯数字,则不会进行转化

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第9张图片

纯数字就可以:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第10张图片

但可以使用%通配符:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第11张图片

 

延伸到SQL注入

通过上述的 select "test" = 0; 为True的原理,可以引申到SQL注入中。

字符串列数据提取

前提条件是字段值要类似于"test"的字符串类型才可以:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第12张图片

当waf拦截等号(=)时,也可以用 like 关键字进行绕过:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第13张图片

like的优先级大于=,上述语句等价于:

select * from users where username = (1 like "2");

判断列名是否存在

简单的,我们知道 "" like "123" 为0:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第14张图片

同样可以以永真的条件列出所有数据:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第15张图片

当"123"用某个列的值来替代的时候,就可以判断某个列是否存在:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第16张图片

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第17张图片

若列名存在,还可以通过赋值来排查某一行数据:

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第18张图片

新型万能密码

由于登录处的username为字符串类型,且 "xxx" like 1 为 0,所以构造之后就相当于: "xxx" = 0  ==> Ture

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第19张图片

原始语句 过程释义 结果 备注
select * from users where username = "xxx" like 1;

1. select * from users where username = 0;

2. select * from users where True;

1 (True)

1. "xxx" like 1 返回 0

2. "xxx"转化失败返回0,与上一步的0比较相等返回1(Ture)

不需要知道真实用户名,直接以True永真条件登录:

xxx' like 1 #

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第20张图片

当拦截关键字like时,可以直接用跳过like来注入:

'+0 #

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第21张图片

原始语句 过程释义 结果 备注
select * from users where username = "xxx" + 0;

1. select * from users where username = 0;

2. select * from users where True;

1 (True)

1. "xxx"+0, "xxx"转化失败返回0

2. 与上一步的0比较相等返回1

Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题_第22张图片

参考: http://www.6tie.net/p/1167757.html

你可能感兴趣的:(杂)