看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。

0×00 背景

看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。

0×01 环境信息

测试环境:操作系统ubuntu0.14.04.1 MYSQL:5.5.55-0

测试代码:

<?php

$mysql_server=”10.10.10.136″;

$mysql_username=”root”;

$mysql_userpass=”xxxxx”;

$mysql_select_db=”test”;

$config=mysql_connect($mysql_server,$mysql_username,$mysql_userpass)or die (mysql_error());

$db=mysql_select_db($mysql_select_db)or die (mysql_error());

if( isset( $_REQUEST[ 'evil' ]) ) {

$evil = $_REQUEST[ 'evil' ];

$query  = “select * from test order by user_id $evil;”;

//$query  = “(select * from test order by user_id $evil);”;

$result = mysql_query( $query,$config) or die( $query.’<pre>’ . mysql_error() . ‘</pre>’);

$num = mysql_numrows( $result );

$i   = 0;

while( $i < $num ) {

$user_id = mysql_result( $result, $i, “user_id” );

$user = mysql_result( $result, $i, “user” );

$password  = mysql_result( $result, $i, “password” );

$html .= “<pre>user_id: {$user_id} user: {$user} password: {$password}</pre>”;

$i++;

}

mysql_close();

echo $query;

echo $html;

}

?>

0×02 注入方法介绍

正常页面:

&amp;amp;lt;img alt="页面.png" src="http://image.3001.net/images/20170830/15040564954516.png!small" width="440" height="437" /&amp;amp;gt;&amp;amp;lt;/p&amp;amp;gt;

1.order by 与 报错注入:

当页面会展示出MYSQL的错误信息时,可以使用报错注入。

?evil=and(updatexml(1,concat(0x7e,(select user())),0))

&amp;amp;lt;img alt="01.png" src="http://image.3001.net/images/20170830/15040565449721.png!small" width="690" height="217" /&amp;amp;gt;&amp;amp;lt;/p&amp;amp;gt;

2.order by 与 盲注:

当页面并没有展示MYSQL的错误信息时,且只能根据页面的回显数据的状态进行判断时,可使用布尔盲注。

《当然雨师傅也提到了可以使用时间盲注 select * from test order by user_id,(select 1 from (select sleep(3))a)》

这里使用位运算符的^(位异或),当然MySQL还有|(位或),&(位与),~(位取反),>>(位右移),<<(位左移)操作符号,位符号感觉有很多妙用目前还没想好:-)。

^(位异或会将前后的数字转换成2进制然后进行异或。

因为正则进行匹配时,匹配到数据返回1(00000001)的时候,此时返回的1会和user_id中的数据的二进制进行异或,然后按照异或的结果升序排列,所以显示的排列会发生变化。

当正则进行匹配时,未匹配到数据返回0(00000000)的时候,任意数字和0异或的结果还是本身,所以user_id中的数据和0进行异或后排序是不变的。

因此,当页面排序紊乱时候则说明正则匹配到正确数据,页面排序未发生紊乱时则说明正则没有匹配到数据。

通过排列顺序的变化来判断返回的结果是否正确,这里的MYSQL版本是:5.5.55-0, 所以使用如下语句可以匹配到数据,因此排序发生变化了,这里’^5′也可以转换成^5的16进制,这样语句中就没了引号。

?evil=^(select (select version()) regexp ‘^5′), 正则返回结果为1,然后与user_id后面的值进行异或,得到如下结果。

  排序前                        排序后                
  user_id    user_id的二进制    正则(1)二进制    user_id^1         user_id    user_id的二进制    正则(1)二进制    user_id^1 
  1    00000001    00000001    00000000         1    00000001    00000001    00000000 
  2    00000010    00000001    00000011         3    00000011    00000001    00000010 
  3    00000011    00000001    00000010         2    00000010    00000001    00000011 
  4    00000100    00000001    00000101         5    00000101    00000001    00000100 
  5    00000101    00000001    00000100         4    00000100    00000001    00000101 
  6    00000110    00000001    00000111         7    00000111    00000001    00000110 
  7    00000111    00000001    00000110         6    00000110    00000001    00000111 
 

因为order by 默认是升序排列的,所以页面显示的是如下的效果:

&amp;amp;lt;img alt="效果.png" src="http://image.3001.net/images/20170830/15040566497427.png!small" width="641" height="441" /&amp;amp;gt;&amp;amp;lt;/p&amp;amp;gt;

?evil=^(select (select version()) regexp ‘^aaaaaa’) 未能匹配到数据,因此返回0。

当正则未匹配到数据时候返回的结果是0, 0和任意数字异或的结果都是数字本身,所以排序是不变的。

  user_id    user_id的二进制    正则(0)二进制    user_id^0 
  1    00000001    00000000    00000001 
  2    00000010    00000000    00000010 
  3    00000011    00000000    00000011 
  4    00000100    00000000    00000100 
  5    00000101    00000000    00000101 
  6    00000110    00000000    00000110 
  7    00000111    00000000    00000111 
 

&amp;amp;lt;img alt="2222.png" src="http://image.3001.net/images/20170830/15040567173649.png!small" width="690" height="434" /&amp;amp;gt;&amp;amp;lt;/p&amp;amp;gt;

3.order by 与union 查询:

当$query  = “select * from test order by user_id $evil;”;没有使用括号包裹的时候,是无法直接使用union查询的。

当 $query  = “(select * from test order by user_id $evil);”;使用括号进行包裹的时候,此时是可以进行union查询的。

这个在MySQL的官方文档上也有进行说明<来自 MySQL 5.5参考手册>,文档中说道并把ORDER BY或LIMIT放到最后一个的后面,

经过测试MYSQL:5.5.55-0放在前面也是可以执行的。当然这种情况不大常见。

&amp;amp;lt;img alt="ruguo.png" src="http://image.3001.net/images/20170830/15040567914090.png!small" width="690" height="144" /&amp;amp;gt;&amp;amp;lt;/p&amp;amp;gt;

&amp;amp;lt;img alt="333.png" src="http://image.3001.net/images/20170830/15040568097713.png!small" width="690" height="479" /&amp;amp;gt;&amp;amp;lt;/p&amp;amp;gt;

0×03 小小的总结

由于采用预编译执行SQL语句时传入的参数不能作为SQL语句,所以像order by xxx desc这里的排序规则还是只能用拼接,

因此order by后的注入或许能够成为后续漏洞挖掘重点关注的SQL注入点。

玩得一手好注入之order by排序篇的更多相关文章

  1. SQL注入攻击三部曲之进阶篇

    SQL注入攻击三部曲之进阶篇 通过入门篇的学习,我们知道了SQL注入攻击的判断方法,但是如果想侵入网站,获取网站的机密内容,那么仅靠入门篇的知识是无法达到的.本篇文章我们将进一步的分析SQL注入攻击. ...

  2. 关于实现mybatis order by 排序传递参数实现 问题记录

    一    问题场景:本人项目纯纯的后端系统  并且项目前端采用纯纯的原生js 实现 1)表格  通过查询列表数据放入到域中  前段采用 for循环的方式实现遍历生成列表 2)分页实现本人是公司内部自定 ...

  3. 去重 ROW_NUMBER() OVER(PARTITION BY 分组字段 ORDER BY 排序字段) RN

    关键字  ROW_NUMBER() OVER(PARTITION BY 分组字段 ORDER BY 排序字段) RN 按照分组字段进行排序并标编号 ROW_NUMBER() OVER(PARTITIO ...

  4. SQL Server数据库--》top关键字,order by排序,distinct去除重复记录,sql聚合函数,模糊查询,通配符,空值处理。。。。

    top关键字:写在select后面 字段的前面 比如你要显示查询的前5条记录,如下所示: select top 5 * from Student 一般情况下,top是和order by连用的 orde ...

  5. MySQL中order by排序时,数据存在null咋办

    order by排序是最常用的功能,但是排序有时会遇到数据为空null的情况,这样排序就会乱了,这里以MySQL为例,记录我遇到的问题和解决思路. 问题: 网页要实现table的行鼠标拖拽排序,我用A ...

  6. SQL注入攻击三部曲之高级篇

    SQL注入攻击三部曲之高级篇 经过了入门篇和进阶篇的学习,相信诸位想要破解一般的网站是没有什么问题了,但是先别得意.正所谓学海无涯,技术的进步也是没有止境的.SQL注入是一个看起来简单,但是变数很多的 ...

  7. SQL注入攻击三部曲之入门篇

    SQL注入攻击三部曲之入门篇 服务器安全管理员和攻击者的战争仿佛永远没有停止的时候,针对国内网站的ASP架构的SQL注入攻击又开始大行其道.本篇文章通过SQL注入攻击原理引出SQL注入攻击的实施方法, ...

  8. hive:数据库“行专列”操作---使用collect_set/collect_list/collect_all & row_number()over(partition by 分组字段 [order by 排序字段])

    方案一:请参考<数据库“行专列”操作---使用row_number()over(partition by 分组字段 [order by 排序字段])>,该方案是sqlserver,orac ...

  9. 带你开发一款给Apk中自动注入代码工具icodetools(完善篇)【申明:来源于网络】

    带你开发一款给Apk中自动注入代码工具icodetools(完善篇)[申明:来源于网络] 带你开发一款给Apk中自动注入代码工具icodetools(完善篇):http://blog.csdn.net ...

随机推荐

  1. codeforces 1100F Ivan and Burgers 线性基 离线

    题目传送门 题意: 给出 n 个数,q次区间查询,每次查询,让你选择任意个下标为 [ l , r ] 区间内的任意数,使这些数异或起来最大,输出最大值. 思路:离线加线性基. 线性基学习博客1 线性基 ...

  2. UVALive - 2678 二分/尺取

    题意:求最小的长度L满足该长度上的元素和大于等于S 最近dp做多了总有一种能用dp解决一切的错觉 二分长度解决 #include<iostream> #include<algorit ...

  3. 学习python-跨平台获取键盘事件

    class _Getch: """Gets a single character from standard input. Does not echo to the sc ...

  4. PIE SDK图层树右键菜单与命令绑定

    1.   功能简介 上一节已经介绍过图层树如何和地图和制图关联,图层树右键菜单主要是基于TocControl控件进行对菜单节点进行控制,TocControl主要作用是显示当前加载的图层有哪些.采用什么 ...

  5. mysql大数据表删除操作锁表,导致其他线程等待锁超时(Lock wait timeout exceeded; try restarting transaction;)

    背景: 1.有一个定时任务,每10分钟入一批统计数据: 2.另一个定时任务,每天定时清理7天前数据,此定时任务每天01:18:00执行: 现象: 每天01:20:00的统计数据入库失败,异常信息如下, ...

  6. scala 列表的子集判断

    val list1=List.range(0,5) val list2=List.range(0,2) val list3=List(0,6) list1.contains(2) list1.cont ...

  7. 日志收集之nxlog

    一,软件介绍 nxlog 是用 C 语言写的一个开源日志收集处理软件,它是一个模块化.多线程.高性能的日志管理解决方案,支持多平台.可以处理来自许多不同来源的大量事件日志.支持的日志处理类型包括重写, ...

  8. js模拟实现哈希表

    在算法中,尤其是有关数组的算法中,哈希表的使用可以很好的解决问题,所以这篇文章会记录一些有关js实现哈希表并给出解决实际问题的例子. 说明: 这篇博客所写并不是真正意义的哈希表,只是与哈希表的使用有相 ...

  9. Python 中数据的序列化和反序列化(json处理)

    概念: JSON(JavaScript Object Notation):是一种轻量级的数据交换格式. 易于人阅读和编写.同时也易于机器解析和生成. 它基于JavaScript Programming ...

  10. GIT远程仓库的使用

    查看当前项目有哪些远程仓库 $ git remote bixiaopeng@bixiaopengtekiMacBook-Pro wirelessqa$ git remote origin 查看远程仓库 ...