[SQL注入]在select_expr中使用as别名进行注入

导言

阅读《从0到1:CTFer修炼之路》时,其在讲解select注入时,指出当注入点在select_expr中,可以采用as别名的方法,直接将查询的结果显示到界面中,但是其给出的示例,需要将别名命名为被查询表中已有的列名,使我产生了疑惑:为什么非要将别名命名为已有的列名?如果不使用表中存在的列名呢?

问题概述

首先将书中的示例放在这节: 源代码如下所示:

php 复制代码
<?php     
$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 	
$res = mysqli_query($conn, "SELECT ${_GET['id']}, content FROM wp_news"); 	
$row = mysqli_fetch_array($res); 	
echo "<center>";
echo "<h1>".$row['title']."</hl>";
echo"<br>";
echo"<hl>".$row['content']."</h1>";
echo "</center>";

这里,"SELECT ${_GET['id']}, content FROM wp_news"为可以被注入的SQL查询,其中注入点在SELECT操作符后,即表名的输入位置。 这里已知的是,we_news表中一共只有两列:title列和content列,而理论上该查询需要输入的id为"title"。

书中指出,可以采取时间盲注的方式,但是根据 MySQL 的语法,有更优的解决方法,即利用 AS 别名的方法,直接将查询的结果显示到界面中。

payload?id=(select pwd from wp_user as title)

这里的wp_user中存储着用户名和密码,通过这种注入方式可以使得界面回显出密码,如下图:

但是,书中并没有解释,为什么要将别名也设置为已有表中存在的列相同的名"title",此外,也没有解释这个嵌套查询的执行顺序。本文接下来就将说明这两个问题。

为什么非要使用已存在的列名

事实上,如果只谈SQL注入本身,别名设置为任何名字都可以,而在本文的示例中,必须要将注入部分的列名命名为"title"的原因在代码的第6行:echo "<h1>".$row['title']."</hl>";。在查询出结果后,前端只会将列名为"title"的列进行回显 ,由于别名 titlewp_news 表中的现有列名相同,注入的 SQL 查询结果会覆盖原始 title 列的值。如果将别名改为一个在 wp_news 表中不存在的列名,注入的 SQL 仍然会执行,但是它的结果会作为一个新的列添加到查询结果中,就无法在前端回显orz。使其退化为布尔盲注。

例如,如果的 payload 是 ?id=(SELECT pwd FROM wp_user AS new_column),并且 wp_news 表中没有名为 new_column 的列,那么 SQL 注入会导致 new_column 列(含有 wp_user 表中的 pwd 数据)被添加到查询结果中。但是,由于第6行代码只打印 titlecontent 列的值,这个新添加的列的内容并不会直接显示在页面上。

嵌套查询的执行顺序

这里就顺便说一下,注入后的嵌套查询:SELECT (select pwd from wp_user as title), content FROM wp_news的执行顺序。

  1. 执行子查询 :对于主查询中的每一行,都会执行一次子查询。这意味着如果 wp_news 表中有 N 行,子查询就会执行 N 次。每次执行时,子查询都从 wp_user 表中检索 pwd 列的值,而后外部的主查询会从wp_news中取出一行。
  2. 组合结果 :子查询的结果(即 wp_user 表中的 pwd 值)与主查询出的 content列进行拼装。
  3. 返回最终结果 :最终的结果集包含两列:子查询返回的 pwd 列和 wp_news 表的 content 列。

这里需要注意,对于select_expr中的子查询必须是标量子查询,即如果子查询返回多行,它通常会导致一个错误,因为标量子查询应该只返回一个单一的值(只有一行一列)来拼装进主查询中的每一行。

总结

这种AS别名的注入方法,必须要设置别名为已有列名的原因在于前端限制了回显,同时这种诸如能成功的前提在于查询必须是标量子查询,即?id=(select pwd from wp_user as title)这里所返回的密码只能有一个值,不然由于SQL语法错误查询无法执行。

相关推荐
小白考证进阶中几秒前
0基础可以考MySQL OCP么?备考时间需要多久?
数据库·mysql·开闭原则
努力奋斗的小杨17 分钟前
学习MySQL的第十二天
数据库·笔记·学习·mysql·navicat
苹果酱05671 小时前
【Azure Redis 缓存】在Azure Redis中,如何限制只允许Azure App Service访问?
java·vue.js·spring boot·mysql·课程设计
智驱力人工智能1 小时前
无感通行与精准管控:AI单元楼安全方案的技术融合实践
人工智能·安全·智慧城市·智慧园区
tcoding1 小时前
《MySQL 技术内幕-innoDB 存储引擎》笔记
数据库·笔记·mysql
Edward.W2 小时前
如何有效防止 SQL 注入攻击?
数据库·sql
uncofish3 小时前
springboot不连接数据库启动(原先连接了mysql数据库)
数据库·spring boot·mysql
宛如昨晚没早睡3 小时前
MVCC(多版本并发控制)
mysql
bing_1583 小时前
Spring Boot 应用中如何避免常见的 SQL 性能陷阱 (例如:SELECT *, NOT IN, 隐式类型转换)?
spring boot·sql·性能优化
鱼儿也有烦恼4 小时前
MySQL最新安装、连接、卸载教程(Windows下)
mysql·navicat