mysql order by注入_玩得一手好注入之order by排序篇

最新推荐文章于 2024-02-22 20:01:47 发布
最新推荐文章于 2024-02-22 20:01:47 发布
阅读量367 收藏 1
点赞数
文章标签: mysql order by注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42319865/article/details/113189626
版权

0x00 背景

看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。

0x01 环境信息

测试环境:操作系统ubuntu0.14.04.1 MYSQL:5.5.55-0

测试代码:

$mysql_server="10.10.10.136";

$mysql_username="root";

$mysql_userpass="xxxxx";

$mysql_select_db="test";

$config=mysql_connect($mysql_server,$mysql_username,$mysql_userpass)or die (mysql_error());

$db=mysql_select_db($mysql_select_db)or die (mysql_error());

if( isset( $_REQUEST[ 'evil' ]) ) {

$evil = $_REQUEST[ 'evil' ];

$query  = "select * from test order by user_id $evil;";

//$query  = "(select * from test order by user_id $evil);";

$result = mysql_query( $query,$config) or die( $query.'

' . mysql_error() . '
');

$num = mysql_numrows( $result );

$i   = 0;

while( $i < $num ) {

$user_id = mysql_result( $result, $i, "user_id" );

$user = mysql_result( $result, $i, "user" );

$password  = mysql_result( $result, $i, "password" );

$html .= "

user_id: {$user_id} user: {$user} password: {$password}
";

$i++;

}

mysql_close();

echo $query;

echo $html;

}

?>

0x02 注入方法介绍

正常页面:

24b216a338a9c49f67c2be3703105642.png

1.order by 与 报错注入:

当页面会展示出MYSQL的错误信息时,可以使用报错注入。

?evil=and(updatexml(1,concat(0x7e,(select user())),0))

97135fcc459d76b1dba67ce19abad973.png

2.order by 与 盲注:

当页面并没有展示MYSQL的错误信息时,且只能根据页面的回显数据的状态进行判断时,可使用布尔盲注。

《当然雨师傅也提到了可以使用时间盲注 select * from test order by user_id,(select 1 from (select sleep(3))a)》

这里使用位运算符的^(位异或),当然MySQL还有|(位或),&(位与),~(位取反),>>(位右移),<

^(位异或会将前后的数字转换成2进制然后进行异或。

因为正则进行匹配时,匹配到数据返回1(00000001)的时候,此时返回的1会和user_id中的数据的二进制进行异或,然后按照异或的结果升序排列,所以显示的排列会发生变化。

当正则进行匹配时,未匹配到数据返回0(00000000)的时候,任意数字和0异或的结果还是本身,所以user_id中的数据和0进行异或后排序是不变的。

因此,当页面排序紊乱时候则说明正则匹配到正确数据,页面排序未发生紊乱时则说明正则没有匹配到数据。

通过排列顺序的变化来判断返回的结果是否正确,这里的MYSQL版本是:5.5.55-0, 所以使用如下语句可以匹配到数据,因此排序发生变化了,这里'^5'也可以转换成^5的16进制,这样语句中就没了引号。

?evil=^(select (select version()) regexp '^5'), 正则返回结果为1,然后与user_id后面的值进行异或,得到如下结果。

排序前 排序后user_id user_id的二进制 正则(1)二进制 user_id^1 user_id user_id的二进制 正则(1)二进制 user_id^1

1 00000001 00000001 00000000 1 00000001 00000001 00000000

2 00000010 00000001 00000011 3 00000011 00000001 00000010

3 00000011 00000001 00000010 2 00000010 00000001 00000011

4 00000100 00000001 00000101 5 00000101 00000001 00000100

5 00000101 00000001 00000100 4 00000100 00000001 00000101

6 00000110 00000001 00000111 7 00000111 00000001 00000110

7 00000111 00000001 00000110 6 00000110 00000001 00000111

因为order by 默认是升序排列的,所以页面显示的是如下的效果:

b800706d7a8655d02fa8b520d1a56191.png

?evil=^(select (select version()) regexp '^aaaaaa') 未能匹配到数据,因此返回0。

当正则未匹配到数据时候返回的结果是0, 0和任意数字异或的结果都是数字本身,所以排序是不变的。

user_id user_id的二进制 正则(0)二进制 user_id^01 00000001 00000000 00000001

2 00000010 00000000 00000010

3 00000011 00000000 00000011

4 00000100 00000000 00000100

5 00000101 00000000 00000101

6 00000110 00000000 00000110

7 00000111 00000000 00000111

b849e3b866f5052f5b99c88f0e3cf435.png

3.order by 与union 查询:

当$query  = "select * from test order by user_id $evil;";没有使用括号包裹的时候,是无法直接使用union查询的。

当 $query  = "(select * from test order by user_id $evil);";使用括号进行包裹的时候,此时是可以进行union查询的。

这个在MySQL的官方文档上也有进行说明,文档中说道并把ORDER BY或LIMIT放到最后一个的后面,

经过测试MYSQL:5.5.55-0放在前面也是可以执行的。当然这种情况不大常见。

c707d7af8b96486ffccbd4e0d3587bab.png

e46857ec04ba6294bb496332981f9771.png

0x03 小小的总结

由于采用预编译执行SQL语句时传入的参数不能作为SQL语句,所以像order by xxx desc这里的排序规则还是只能用拼接,

因此order by后的注入或许能够成为后续漏洞挖掘重点关注的SQL注入点。

06c28bc5bb09fd61c4d71b3ac02a0ddc.png

演绎完美身材
关注
代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 267
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
MySQL数据库SQL注入靶场sqli通关实战(附靶场安装包)
悦分享
10-20 314
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。带入执行的参数能够可控;拼接的SQL语句能够带入数据库中,并执行;SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
Order by注入
qq_40710190的博客
07-01 4304
MySQL order by注入
mysql 数值型注入_MySQL Order By 注入总结
weixin_30069113的博客
01-18 267
前言最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。今天给大家分享下一些关于Order By的有趣的经验。何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * from goods or...
mysql oder by 注入_Order by排序注入方法小总结
weixin_28753647的博客
02-07 1060
今天总结一下注入点在order by排序注入,学习一下记录下这个过程声明:此文谨供学习记录研究使用,切勿用于非法用途,否则后果自负!注入方法介绍当页面出现mysql报错信息时,注入点在 order by后面,此时可以利用报错信息进行注入。正常语句mysql> select * from users order by id;+----+----------+------------+| id ...
mysql order by注入_sql注入order by注入
weixin_28882177的博客
01-19 4869
0x00 前言夜里看了一文章,突然有了启发,赶紧记录一下。了解order by参考:order by是mysql中对查询数据进行排序的方法, 使用示例select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序这里的重点在于order by后既可以填列名或者是一个数字。举个例子:...
mysql oder by 注入_orderby 注入
weixin_42298415的博客
01-27 805
0x01 介绍顾名思义,注入点出现在oder by后面即可称为order by 注入正常的oder by 语句:select * from users order by id desc;当desc此处位置参数可控时,即有可能存在oreder by注入,那么如何在这样的情况下注出我们想要的数据呢?1.如果有报错信息输出,可尝试通过报错注入完成sql注入攻击2.如果没有回显,可尝试盲注的手法来注入0x...
PHP MySQL Order By:Update:Delete.md
最新发布
06-13
#### 一、ORDER BY 子句详解 在PHP中使用MySQL进行数据库操作时,经常会遇到需要根据特定字段来排序查询结果的需求。此时,`ORDER BY`子句就显得尤为重要。通过使用`ORDER BY`,我们可以控制查询结果的返回顺序,这...
详解mybatis的#{}和${}的区别以及order by注入问题
蜻蜓队长
09-09 453
直奔主题… #{}相当于jdbc中的preparedstatement ${}是输出变量的值 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "domain_id"); System.out.println(st.toString());  Res
burp爆破mysql_Burpsuite练兵场-SQL注入(一)
weixin_34537864的博客
02-23 625
0x10 SQL注入漏洞(一)说到SQL注入漏洞,各位小伙伴一定是耳熟能详,作为一种常见的高危漏洞,其对于应用程序的损害是非常严重的。因此这也是一个在我们渗透测试的过程中具有高优先级的验证目标,所以将与之相关的实验进行优先讲述。SQL注入原理:SQL注入的原理其实并不难理解,web应用程序后台获取用户输入并将其拼接到SQL查询语句中进行执行,而这里的用户输入就是我们可以构造恶意payload的地方...
SQL注入ORDER BY注入
m0_74834253的博客
02-22 2755
使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。需要注意的是这样注入的效率很低,还是应该先考虑其他的注入方式最后在采用时间盲注。order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。为true或者false时,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。
​SQL注入order by注入
qq_68163788的博客
01-30 2386
Order by注入是一种SQL注入攻击的类型,它利用了在SQL查询中使用order by子句来对结果进行排序的漏洞。在正常情况下,order by子句会根据指定的列对结果进行排序,但是如果应用程序没有对用户提供的输入进行正确的验证和过滤,攻击者就可以利用这个漏洞来执行恶意的SQL查询。 通过在order by子句中插入恶意的SQL代码,攻击者可以获取敏感数据、修改数据库内容或者执行其他恶意操作。例如,攻击者可以利用order by注入来发现数据库中的表名、列名或者获取敏感数据。
mysql oder by 注入_Mysql Order By注入总结
weixin_29349409的博客
02-07 114
何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控"select * from goods order by $_GET[‘order‘]"简单注入判断在早期注入大量存在的时候利用order by子句进行快速猜解列数,再配合union select语句进行回显。可以通过修改order参数为较大的整数看回显情况来判断。在不知道列名的情况下可以通过列...
order by注入
weixin_49472648的博客
08-11 664
当页面出现mysql报错信息时,注入点在order by后面,此时可以利用报错信息进行注入。即可控的位置在order by 子句后面。如下图所示,这是正常的order by语句。le |le |
【CVE-2021-35042】django order_by()函数 存在的SQL注入漏洞复现
weixin_43923736的博客
06-10 529
【CVE-2021-35042】django order_by()函数 存在的SQL注入漏洞复现
Django order_by SQL注入漏洞分析(CVE-2021-35042)
门柚的博客
07-26 1168
Django order_by SQL注入漏洞分析(CVE-2021-35042)
Django QuerySet.order_by() SQL注入漏洞复现
Tauil的博客
07-27 644
但是该靶场中数据库使用的是单独容器,而且该容器没有使用特定IP地址,如果我们使用上述的命令,连接到的是靶机本机的数据库,而不是容器本身的数据库,为了验证正确性,我们可以到靶机中进入数据库容器中。该网页使用的数据库是cve,一般情况下应该继续挖掘cve数据中的用户账号密码,但是该靶机中并没有用户列表等内容,所以我们可以挖掘该网页数据库的账号密码。可以看到一共开了两个容器,一个是web服务的容器,一个是数据库的容器。内容相同,说明该处存在注入点,可以使用以下命令验证注入点存在。路径下,该页面的源码是。.....
mysql oder by 注入_mysqlorder by注入
weixin_42261068的博客
01-27 110
最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。今天给大家分享下一些关于Order By的有趣的经验。何为order by 注入本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * from goods orde...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值