文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

SQL注入进阶-order by注入

2023-08-31 10:48

关注

目录

01-Order By简介

02-Order By注入场景

03-Order By注入姿势

03.1-结合union select进行盲注

03.2-结合if()进行盲注

03.3-结合if() + sleep()进行盲注

03.4-结合报错注入进行盲注

 04-靶场部署打包


在很多web站点中,都提供了对前端界面显示数据的排序功能,而实际中web站点的排序功能都是借助SQL的order by来实现的,下图是某站点利用order by排序功能实现的效果:

order by语法:

order by 数字 | 列名 [ ASC , [ DESC ] ]

order by:对查询结果按照指定列进行排序,指定列的方式有两种:数字或列名

ASC:升序排列,默认为ASC

DESC:降序排列

注意:以数字方式指定排序列时,数字不能超过列的总数,利用该特性在进行SQL注入的时候可以判断数据库的字段数量

CTF题干给出一个登陆界面,根据提示信息,我们可知,只要破解了用户admin的密码并登陆,即可获得flag值,如下:

题干分析:

web前端页面输入用户名密码并点击提交后,Form表单会将username/password提交到后台进行登陆验证,此时如果后端执行验证时先使用username查表,再匹配查出来记录的密码字段是否和用户提交的password一致来判断是否允许登陆,实现这种登陆验证的服务端代码往往如下所示:

后台未采用select * from users where username='xxx' and password='xxx'这种形式来验证登陆信息)

代码逻辑分析:

如果输入的用户名不是admin,则返回username error!!!

如果输入的用户名是admin,则比较用户输入的密码与数据库中查到的密码是否一致

若密码一致则返回flag,否则返回password error!!!

此时便可借助web提示信息进行注入测试

03.1-结合union select进行盲注

原理简述:

首先要明白,order by排序是对整个联合查询的结果统一进行排序的,构造如下SQL语句:

admin') union select 1,2,'x' order by 3 --+注释:admin')是为了闭合SQL语句中的引号和括号

如果联合查询中第三列x小于password的值,那么1,2,x会被排在第一行,源代码中对查询结果做比较的时候,会返回'username error!!!'

如果联合查询中第三列x大于password的值,那么1,2,x会被排在第二行,源代码中对查询结果做比较的时候,会返回'password error!!!' 

注意:由于order by在进行比较时不区分大小写,因此最好加上binary'x',即union select 1,2,binary'a' order by 3;2

注入步骤:

不断改变联合查询的第三列的值进行密码猜解(此处只做原理说明,因此假设已知密码为p0ssw0rd)

由于'o'小于'p0ssw0rd',因此order by排序后会将1,2,'o'排在第一行,并将第一行返回给PHP进行

admin' union select 1,2,'o' order by 3 --+

 2、由于'q'大于'p0ssw0rd',因此order by排序后会将1,2,'q'排在第二行,并将第一行返回给PHP进行

admin' union select 1,2,'q' order by 3 --+

 因此,我们根据回显的不同,可以不断的猜测x的取值,直到逐位取得password的值

03.2-结合if()进行盲注

 原理概述:

构造SQL语句:admin') order by if(表达式,1,(select SCHEMA_NAME from information_schema.SCHEMATA))

注入原理介绍:

表达式为真,则页面正常显示,此时可操控表达式内容进行注入猜解

表达式为假,则页面输出告警(Something Wrong: Subquery returns more than 1 row),其中SCHEMATA是Mysql自带数据库information_schema中存放所有库名的数据库,SCHEMA_NAME为数据库名称

admin')是为了逃逸引号和括号,涉及注入类型判断,不在本文所述范围

mysql自带数据库information_schema,记录本站所有数据库信息
mysql自带数据库information_schema,记录本站所有数据库信息

 注入步骤:

通过控制表达式的具体内容,获得想要的数据,比如获取数据库名称(已知数据库名称为order_by_inject,此处操作仅作演示),表达式构造如下:

substr(database(),1,1) = x    注释:通过控制substr()函数的参数获取数据库名称的第一个字母并与x进行比较,不断更改x的取值,然后根据界面回显不同来判断数据库名的首字母substr(database(),1,1) = 'a'    ///返回false,页面显示Something Wrong······substr(database(),1,1) = 'o'    ///返回true,页面显示password error,说明首字母为'o'

因此,我们根据回显的不同,可以不断的猜测x的取值,直到逐位取得数据库名,此后再利用information_schema数据库进行脱裤即可 

注释:关于利用information_schema数据库知识以及利用它进行脱裤的技巧可后续关注博主新文章

03.3-结合if() + sleep()进行盲注

该方法与上一章节类似,只需将(select SCHEMA_NAME from information_schema.SCHEMATA)更改为sleep()函数即可,sleep(3)表示延迟3秒执行,如下:

03.4-结合报错注入进行盲注

报错函数基础:

Extractvalue()函数

语法:Extractvalue(XML_document,Xpath_string)

用法:当Xpath_string参数不符合XPath格式时,产生报错

Updatexml()函数

语法:updatexml(XML_document,Xpath_string,new_value)

用法:当Xpath_string参数不符合XPath格式时,产生报错

注入操作: 

构造SQL语句:admin') order by extractvalue(1,concat('~',database())) --+

靶场环境是我自行搭建的,正文中基本上包含了源码,如有小伙伴需要打包好的靶场,可以留言索要,创作不易,未经允许禁止转载,多多理解、多多支持!

来源地址:https://blog.csdn.net/li20132273/article/details/127714511

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯