在受限 SQL 注入场景中枚举 MySQL 8.x 和 9.x 中表名的有趣技术

我在参与一个私人漏洞赏金计划时，发现 LIMIT 子句中存在一个 SQL 盲注入，这个漏洞利用起来非常棘手。我们的输入被传递给一个 SQL 查询，如下所示：

SELECT whatever_column FROM whatever_table LIMIT {{our_input}}

我们无法使用多个语句，而且在 MySQL 的 LIMIT 子句中也无法进行子查询。起初，除了注意到响应中的偏移量变化之外，我什么也做不了1 OFFSET 2#，但这不足以证明其影响。

我在网上搜索了所有可以利用 limit 子句中的 MySQL 注入的方法，但我所发现的只是一种使用 MySQL 5.x 中的过程的技术，而该技术在较新版本的 MySQL 中不再起作用，因为我们不再可以在 LIMIT 子句之后使用过程。

那么现在该怎么办？我查看了 MySQL 8.x 文档，发现了一些非常有趣的事情：

.
.
.
[LIMIT {[offset,] row_count | row_count OFFSET offset}]
[into_option]
[FOR {UPDATE | SHARE}
    [OF tbl_name [, tbl_name] ...]
    [NOWAIT | SKIP LOCKED]
    | LOCK IN SHARE MODE]

明白我们要做什么了吗？我们可以使用这样的payload：

vuln_param = 1 + FOR + SHARE + OF + table_name#

如果表存在，我们将收到 200 响应代码。如果不存在，我们将收到 500 错误。

我使用 python 自动破解数据库中的表，并能够提取 4 个有效的表名。

笔记 ：

此技术仅提取查询中使用的表，但如果选项不足，它会非常方便。如果您受到严格的 WAF 限制，则可以使用此方法提取一些有效的表名。

原文始发于微信公众号（红云谈安全）：在受限 SQL 注入场景中枚举 MySQL 8.x 和 9.x 中表名的有趣技术