白袍的小行星

利用预编译来SQL注入

字数统计: 420阅读时长: 1 min
2020/03/08 Share

在做CTF时遇到这样一个题目,注入点过滤了SELECT.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式:

id=1';show tables;%23

但是没法查询字段,于是就可以利用构建预编译语句来绕过过滤。

利用此方法的前提是支持多语句查询。

先来谈谈什么叫预编译,实际上它经常被用来防止SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,预编译的目的就在于解决这一点。

我们常见的有关防止SQL注入的预编译手段都是基于后端代码的,即PHP或Java的PDO,而这次的用法就是使用SQL命令直接预编译语句。

MySQL的预编译语法为:

//定义预编译语句
PREPARE stmt_name FROM preparable_stmt;
//执行预编译语句
EXECUTE stmt_name [USING @var_name [, @var_name] ...];

解释一下,定义的时候,preparable_stmt代表的是预留数据位置的SQL语句,而stmt_name是类似变量名,代表这个SQL语句,下面举个例子:

PREPARE test FROM 'SELECT (? + ?)';
//即定义了一个两数相加的SQL预编译语句

执行时,@var_name即变量,可以带入语句中进行执行,如:

SET @a = 1;
SET @b = 2; //给变量赋值

EXECUTE test USING @a,@b;//执行

这道题目主要就是利用此方法来绕过黑名单,其具体方法也不止一种,可以利用concat()将关键词分开处理,也可以将整个语句使用char()处理后执行。

BTW,题目是2019强网杯的随便注。

CATALOG