主要观点总结
文章介绍了ClickHouse数据库的特点、在市场上的应用,以及针对ClickHouse的SQL注入挖掘技术。
关键观点总结
关键观点1: ClickHouse简介
ClickHouse是一个由Yandex开源的基于列存储的数据库,专门为实时数据分析设计,处理数据的速度比传统方法快100-1000倍。它和MySQL类似,把表级的存储引擎插件化,根据表的不同需求可以设定不同的存储引擎。
关键观点2: ClickHouse的应用场景
ClickHouse广泛应用于电商及数据分析平台,许多知名公司如腾讯、阿里、华为、字节、京东、拼多多都在使用。它的应用主要涉及到数据统计分析的地方,这些地方都存在SQL查询调用,因此可能存在SQL注入的风险。
关键观点3: ClickHouse中的SQL注入挖掘技术
文章详细介绍了如何判断SQL注入的存在,包括通过筛选、排序等功能进行单引号拼接进行注入判断,以及常用的注入判断语句和获取表、用户等信息的payload。此外,还介绍了利用ClickHouse的URL函数和S3函数引起的SSRF漏洞,以及通过system.clusters表获取数据库集群信息并提升权限的深入利用方法。
文章预览
前言 团队师傅在国内外SRC的clickhouse的sql注入挖掘中,累计金额已超30w+,秉持一个技术forfree的思想,还是抽时间整理了一些技术点,希望能够对各位师傅带来一些帮助。 Clickhouse的介绍以及特点: ClickHouse是一个由Yandex开源的基于列存储的数据库,专门为实时数据分析设计,其处理数据的速度比传统方法快100-1000倍。 ClickHouse 和 MySQL 类似,把表级的存储引擎插件化,根据表的不同需求可以设定不同的存储引擎。目前包括合并树、日志、接口和其他四大类 20 多种引擎。 从现有市场应用来看,ClickHouse广泛运用于电商及数据分析平台,已知的国内用到的公司有:腾讯、阿里、华为、字节、京东、拼多多等,基本上大厂都会有用到(数据分析)。有的会原装不动的使用clikhouse,有的则会基于clickhouse去进行二开和性能的进一步优化。无论是clickhouse还
………………………………
