从CTFHub一道题,聊聊MySQL中那些容易被忽略的‘非主流’函数:REPLACE、CHAR与注入新思路
从CTFHub一道题看MySQL冷门函数的注入奇技
在渗透测试和CTF比赛中,SQL注入始终是最经典也最考验技巧的漏洞类型。当常规的联合查询、布尔盲注、时间盲注等手法被WAF严防死守时,我们是否想过从数据库手册的"冷门角落"寻找突破口?本文将以一道CTFHub赛题为引,深入剖析REPLACE、CHAR等MySQL"非主流"函数在注入中的妙用,揭示如何通过函数组合实现数据"自指"(Quine),为安全测试人员提供全新的攻击面挖掘思路。
1. 非常规注入的解题逻辑拆解
这道CTF题的核心约束条件异常刁钻:只有当用户输入的密码与数据库查询返回的密码完全一致时,才会返回flag。初看似乎无解——如果不知道密码,如何让输入与输出一致?这正是考察对SQL语言本质理解的精妙之处。
1.1 题目关键限制分析
通过源码审计,我们发现三个致命约束:
- 用户身份强制校验:仅允许admin用户登录
- 严格WAF过滤:禁用
=、and、or等常见操作符,以及substr、reverse等字符串函数 - 密码比对机制:
if($row['password'] === $password)的强类型匹配
传统注入手法在此全部失效。此时需要转换思路——构造一个输入输出完全相同的SQL表达式,即让数据库查询结果恰好等于我们提交的payload本身。
1.2 Quine编程思想的数据库实现
Quine(自产生程序)是指输出自身源代码的程序。将其思想迁移到SQL注入中,我们需要构造满足以下条件的表达式:
SELECT X FROM table WHERE X = 'X' -- 其中X的值为其自身的字符串表示通过MySQL的REPLACE函数嵌套可以实现这种自指效果。核心原理是:
- 内层
REPLACE处理字符转义 - 外层
REPLACE实现字符串自复制
具体实现形式如下:
REPLACE( REPLACE('REPLACE(".",CHAR(34),CHAR(39))', CHAR(34), CHAR(39)), CHAR(46), 'REPLACE(".",CHAR(34),CHAR(39))' )这个表达式经过两次替换后,输出结果与原始输入完全一致,完美绕过密码比对检查。
2. 关键函数深度解析
2.1 REPLACE函数的隐藏特性
REPLACE(str,from_str,to_str)函数看似简单,但在注入中有三个鲜为人知的特性:
- 递归替换:当
to_str包含from_str时会形成无限递归SELECT REPLACE('a','a','aa'); -- 返回'aa' - 类型自动转换:非字符串参数会被隐式转换
SELECT REPLACE(1234,2,9); -- 返回'1934' - 嵌套执行顺序:内层替换优先于外层
这些特性组合后可以构造出复杂的自引用表达式。例如以下payload通过三层嵌套实现引号逃逸:
SELECT REPLACE( REPLACE( REPLACE('"', CHAR(34), CHAR(39)), CHAR(39), CONCAT(CHAR(39), CHAR(34)) ), CHAR(36), '$' )2.2 CHAR函数的编码妙用
CHAR()函数将ASCII码转换为对应字符,在绕过WAF方面有独特优势:
| ASCII码 | 字符 | 常见过滤绕过场景 |
|---|---|---|
| 9 | \t | 替代空格 |
| 10 | \n | 换行绕过 |
| 34 | " | 引号替代 |
| 39 | ' | 单引号编码 |
| 46 | . | 点号特殊处理 |
实战中常用组合:
CONCAT(CHAR(104),CHAR(101),CHAR(108),CHAR(108),CHAR(111)) -- 输出"hello"2.3 函数组合的奇技淫巧
当基础函数组合使用时,会产生意想不到的效果:
- 字符串自生成:
SELECT REPLACE(REPLACE('"X"',CHAR(34),'Y'),'X','"X"') -- 输出 "Y"X"Y" - WAF绕过模板:
SELECT/*!50000CHAR*/(45)/**/FROM/**/users - 无字母数字注入:
SELECT``^!!~1; -- 通过位运算构造字符
3. 实战中的冷门函数挖掘方法论
3.1 数据库手册的"宝藏"区域
MySQL官方文档中以下章节常被忽视却暗藏玄机:
- 字符串函数:
ELT()、MAKE_SET()、EXPORT_SET() - 数值函数:
CONV()、FORMAT()、CRC32() - 日期函数:
FROM_UNIXTIME()、UTC_TIMESTAMP() - 加密函数:
MD5()、SHA1()的碰撞特性
例如EXPORT_SET()可以用于数据外带:
SELECT EXPORT_SET(5,'Y','N',',',4); -- 返回"Y,N,Y,N"3.2 函数特性组合矩阵
建立函数特性对照表有助于发现新的攻击向量:
| 函数特性 | 可利用场景 | 危险函数示例 |
|---|---|---|
| 递归执行 | 栈溢出/内存耗尽 | REPEAT()、RPAD() |
| 隐式类型转换 | 数字型注入 | CONV()、FORMAT() |
| 多字节处理 | 字符集绕过 | CHAR()、ORD() |
| 参数可控 | 二次注入 | GROUP_CONCAT() |
3.3 自动化挖掘工具链
推荐以下工具辅助冷门函数挖掘:
- sqlmap tamper脚本:自定义函数变形规则
python sqlmap.py -u "http://test.com" --tamper=charunicodeescape - FuzzDB字典:包含非常规函数组合payload
- CodeQL规则:静态分析危险函数调用链
4. 防御视角的对抗策略
4.1 WAF规则盲点检测
针对函数式注入,传统WAF容易遗漏以下检测点:
- 函数名与参数分离:
SELECT/*!50000CHAR*/(45) - 嵌套函数调用:
SELECT REPLACE(REPLACE('...')) - 非常量参数:
SELECT CHAR(USER()%256)
4.2 安全编码最佳实践
| 防御措施 | 示例 | 有效性等级 |
|---|---|---|
| 参数化查询 | prepare+execute | ★★★★★ |
| 最小权限原则 | 只读账户 | ★★★★☆ |
| 函数白名单 | 禁用REPLACE、CHAR | ★★☆☆☆ |
| 输出编码 | HTML实体转义 | ★★★☆☆ |
4.3 监控与溯源方案
建议部署以下深度防御措施:
- SQL语法分析:检测异常函数嵌套层级
- 执行计划监控:识别非常规函数调用
- 流量基线对比:发现低频函数使用模式
在真实渗透测试中,遇到严格过滤时不妨翻翻数据库手册的"冷门"章节。某次红队行动中,我们正是通过FORMAT()函数的数字格式化特性,成功绕过了某金融系统的WAF防护。记住,最锋利的武器往往藏在最不起眼的角落。