记一次真实渗透排序处发现的SQL注入学习

已于 2024-01-06 19:54:57 修改
阅读量337 收藏 1
点赞数 6
CC 4.0 BY-SA版权
文章标签: sql 学习 oracle web安全 人工智能 网络安全 安全
于 2023-09-27 12:00:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jennycisp/article/details/133345832
文章讲述了作者在尝试复现同事大佬发现的SQL注入漏洞过程中,如何通过orderby注入技巧找出漏洞,以及利用payload进行爆破的过程。作者还分享了MyBatis可能导致注入的问题和payload的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

00x0前言

为啥叫真实渗透的sql注入“学习”呢,嘿嘿,自然不是本人挖到的,是同事大佬挖到的,本着学习的态度,去复现了下,结果遇到些问题,才有了这篇文章。

00x1复现失败

大佬发现的这个sql注入非常快,另一个同事刚把站的后台管理系统弱口令给发出来几分钟,大佬就发sql注入得到数据库名的截图了。我人麻了,太强了。我寻思那么多接口,那么多参数,是怎么那么迅速的发现问题的?带着这个疑问我去试了一下。

大佬的图是这样的。

img

我按着接口找到漏洞点。

img

我直接点击查询,然后抓包,并利用上大佬的payload,可是数据库第一个字母不是i吗,我a怎么也返回200?(试了其他的,全都返回200)

img

换个判断长度的语句,根据大佬跑出来的数据库名长度为7,我填8还是返回200,说明有问题。

img

后来发现order参数的值undefined有些奇怪,就随意更改了一下,发现返回500,但是不管是啥都返回500,看样子确实是参数的问题,猜想应该是order为某个特殊的值,才会触发SQL注入(大佬的截图刚好没有截到order参数的值),FUZZ了半天也不知道是啥,就跑去请教大佬,大佬说确实是这样,是需要让其值为asc或者desc才能触发。asc在sql语句中起到升序作用,desc为降序。具体原理后面再总结。

00x2重新复现

得到大佬的指示,开始重新复现,更换order值为asc,column参数加单引号果真报错。

img

输入payload,数据库名第一位a,返回500(i的话就会返回200)

img

这里忘截图了,借用一下大佬的图,数据库长度为7。返回200(其余的都会返回500)

img

发送数据包到intruder模块爆破一下

攻击类型选择第四个cluster bomb

把数据库名的位数和数据名的字母给添加一下

img

设置payload1为1-8的数字

img

设置payload为a-z的字母。

img

开始爆破,成功得到数据库名。

img

00x3总结

后来又测试了其他参数后,发现并不存在注入,仅仅只有column参数在order为asc和desc时存在注入。又去找大佬交流了一下。大佬说这个是一个小技巧,像这种java站的,这种排序的地方都可以测一下,可能就有order by注入。

大佬解释了下大概原理:参数化会将参数值加上引号,但是order by字段不能带引号,所以很多排序功能常存在注入问题,如mybatis中预编译使用 #{} 而order by 字段使用参数化后有问题,所以开发者可能直接就使用 ${ }从而存在注入问题。本次遇到的也正是mybatis。

img

对于本次使用的payload我也解释一下:IF(substr(database (),1,1)=‘i’,1,(select+1+union+select+2))

因为此处是order by注入,这句payload翻译过来就是:如果数据库名字的第一个字母是i,就执行1,如果不是i,就执行select 1 union select 2,又因为这个语句返回的是两行数据,在语法规范上是错误的,导致整条语句都不执行,所以报错。这样就可根据返回码来区分,并进行快速爆破来判断出数据库名,类似于布尔盲注。

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

一次系统被sql注入搞挂的惨痛经历
04-22 2946
前言 最近我在整理安全漏洞相关问题,准备在公司做一次分享。恰好,这段时间团队发现了一个sql注入漏洞:在一个公共的分页功能中,排序字段作为入参,前端页面可以自定义。在分页sql的mybatis mapper.xml中,order by字段后面使用$符号动态接收计算后的排序参数,这样可以实现动态排序的功能。 但是,如果入参传入: id; select 1 -- 最终执行的sql会变成: select * from user order by id; select 1 -- limit 1,20 –会把后面
SQL注入渗透与防御(一)什么是SQL注入
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-18 350
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 。 ​
CTF从入门到提升(八)desc注入及相关例题分享
anquanniu的博客
09-03 1143
desc注入及相关例题分享 desc是函数describe的简写,一般用来提供和表相关的列信息来查看表的结构。 很多CTF赛题考点都是运用它的一些我们不太熟悉的特性或者说使用方法。常规来讲desc后面跟的是表名,但事实远不止于此,除了表名还可以有第二个参数。 而且在第二个参数中,它除了列名之外,还可以是包含sql通配符的字符串。 演示一下: 它会出一个表的一个结构。 下一个参数去跟一个列名: ...
sqli-labs注入漏洞解析--less-46
duoba_an的博客
02-26 2874
在MySQL支持使用ORDER BY语句对查询结果集进行排序理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;
sql注入总结--详细
weixin_44576725的博客
11-19 6887
文章目录SQL注入总结1、原理2、数据库基础系统函数字符串连接函数mysql注释符union 操作符的介绍order by介绍字符串编码数据库结构导入导出相关操作增删改函数3、判断是否存在SQL注入4、回显注入(联合注入)查询字段数目查询库名查询表名查询字段名查询字段值获取WebShell5、盲注sql注入截取字符串常用函数REGEXP正则表达式LIKE 匹配布尔盲注布尔盲注的流程脚本时间盲注DNSLog盲注6、堆叠注入7、报错注入数据溢出xpath语法错误主键重复一些特性8、二次注入9、ORDER BY
初识排序注入
白帽子凯哥聊黑客
05-12 1227
但是采用预编译执行SQL语句传入的参数不能作为SQL语句的一部分,那么Order By后的字段名、或者是desc\asc也不能预编译理,那么也就是说Order By场景的排序规则还是只能使用拼接,这时候如果在开发阶段没有理好,那么就很可能导致SQL注入问题了。拿着这个poc去尝试这些天碰到的排序注入发现都可以嗷,对比盲注来说,漏洞证明的过程还是会节省一些时间。总之都是利用盲注的方式来获取数据,从基础的poc fuzz到poc2、poc3甚至poc4,取决于waf的强弱、个人习惯。
sqlilabs靶场排序注入(九)
wanan的博客
10-09 759
sqlilabs靶场排序注入(九)
71.网络安全渗透测试—[SQL注入篇10]—[SQLSERVER+ASP-联合查询注入]
qwsn
01-18 2376
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、SQLSERVER+ASP 联合查询注入 1、SQLSERVER 相关概念: 2、SQLSERVER+ASP 联合查询注入示例: (1)判断是否存在注入:`and/or逻辑判断` (2)判断列数:`order by` (3)联合查询注入—判断回显位:联合查询要求,联合查询的列与被联合查询的`列的个数和类型一致`,类型一致问题可以使用null值绕过。 (4)联合查询注入—查询系
SQL注入——渗透day06
qq_62716256的博客
08-12 1108
SQL注入——渗透day06
78.网络安全渗透测试—[SQL注入篇17]—[Oracle+JSP-联合查询注入]
qwsn
01-20 2464
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Oracle+JSP 联合查询注入 1、注释符号 2、手工闭合方法 3、判断是否存在注入 3、判断列数:order by二分法排序` 4、联合查询:判断回显位 5、联合查询:获取Oracle的系统级信息 6、联合查询:库名、表名、字段名 7、联合查询:数据/录/字段值 8、Oracle的常用SQL语句 9、总结:
sql注入-排序注入
weixin_55885866的博客
01-11 752
第二个参数只要不是xpath格式数据就可以所以需要concat来添加字符让其报错。目标请求为https://xxxx/?第一个参数和第三个随意填写。此输入数据为3-1。
SQL注入:order by注入
qq_68163788的博客
01-30 3058
Order by注入是一种SQL注入攻击的类型,它利用了在SQL查询中使用order by子句来对结果进行排序的漏洞。在正常情况下,order by子句会根据指定的列对结果进行排序,但是如果应用程序没有对用户提供的输入进行正确的验证和过滤,攻击者就可以利用这个漏洞来执行恶意的SQL查询。 通过在order by子句中插入恶意的SQL代码,攻击者可以获取敏感数据、修改数据库内容或者执行其他恶意操作。例如,攻击者可以利用order by注入发现数据库中的表名、列名或者获取敏感数据。
SQL 注入 五大基本手法
weixin_51559599的博客
11-07 1725
适用数据库中的来的情况。联合查询就是利用语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。
SQL注入进阶-order by注入
AkangBoy的博客
11-06 9798
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入、order by if()注入、order by sleep()注入、order by报错注入
细说——SQL注入的常见方式
LainWith的博客
11-04 8526
目录BurpSuite预配置1. 安装CO22. 配置CO23. 小试牛刀使用pikachu靶场的“字符型注入”联合查询(union)函数介绍order byunion selectlimit操作报错盲注1. 获取数据库名2. 获取敏感信息3.获取 mysql 账号密码其他报错函数4. 获取表名4.1 获取第一张表4.2 获取第二张表4.3 获取所有表5. 获取列5.1 获取第一列5.2 获取第二列5.3 获取所有列6. 获取列中的数据6.1 获取第一组数据6.2 获取第二组数据6.3 获取所有数据布尔盲注
【2025版】最新SQL 三种注入方式详解,零基础入门到精通,收藏这一篇就够了
最新发布
baimao__Ch的博客
03-18 2040
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。可见该网络安全专业的技术性很强,具有鲜明的专业特点,是一门能够学到真正技术的工科类专业之一。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
SQL注入原理分析
2401_84466359的博客
05-29 1370
order by的作用及含义order by 用于判断显示位,order by 原有的作用是对字段进行一个排序,在sql注入中用order by 来判断排序,order by 1就是对一个字段进行排序,如果一共四个字段,你order by 5 数据库不知道怎么排序,就错误了无返回值。union select如何发挥作用union为联合查询,a联合b进行了查询,为查询了前面的sql语句(原有的)后再进行后面的sq查询(我们添加的),但两张表联合查询的字段数必须相同。输出位是什么。
sql注入之order by注入
devil8123665的博客
06-22 1929
在安恒杯看到了利用order by进行盲注,得自己之前好像总结过order by后的注入方法,翻笔发现确实是有一篇标题为order by注入的笔,然而里面什么都没写。看了下详细信息,发现是17年8月11号创建的。真的是拖延症拖到忘啊。order by是mysql中对查询数据进行排序的方法, 使用示例 这里的重点在于order by后既可以填列名或者是一个数字。举个例子: id是user表的第一列的列名,那么如果想根据id来排序,有两种写法: order by盲注 结合union来盲注 这
关于sql注入这一篇就够了(适合入门)
qq_53105813的博客
01-07 5630
sql注入详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员一粟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值