Sqli-labs less 46

时间 2020-04-10

标签 sqli labs 繁體版

原文原文链接

Less-46

从本关开始，咱们开始学习order by 相关注入的知识。mysql

本关的sql语句为$sql = "SELECT * FROM users ORDER BY $id";sql

尝试?sort=1 desc或者asc，显示结果不一样，则代表能够注入。（升序or降序排列）函数

从上述的sql语句中咱们能够看出，咱们的注入点在order by后面的参数中，而order by不一样于的咱们在where后的注入点，不能使用union等进行注入。如何进行order by的注入，咱们先来了解一下mysql官方select的文档。学习

咱们可利用order by后的一些参数进行注入。3d

首先orm

（1）、order by 后的数字能够做为一个注入点。也就是构造order by 后的一个语句，让该语句执行结果为一个数，咱们尝试blog

没有报错，可是right换成left都同样，说明数字没有起做用，咱们考虑布尔类型。此时咱们能够用报错注入和延时注入。md5

此处能够直接构造 ?sort= 后面的一个参数。此时，咱们能够有三种形式，ci

①直接添加注入语句，?sort=(select ******)

②利用一些函数。例如rand()函数等。?sort=rand(sql语句)

Ps：此处咱们能够展现一下rand(ture)和rand(false)的结果是不同的。

③利用and，例如?sort=1 and (加sql语句)。

同时，sql语句能够利用报错注入和延时注入的方式，语句咱们能够很灵活的构造。

报错注入例子

上述例子，能够看到root@localhost的用户名

接下来咱们用rand()进行演示一下，由于上面提到rand(true)和 rand(false)结果是不同的。

http://127.0.0.1/sqli-labs/Less-46/?sort=rand(ascii(left(database(),1))=115)

http://127.0.0.1/sqli-labs/Less-46/?sort=rand(ascii(left(database(),1))=116)

从上述两个图的结果，对比rand(ture)和rand(false)的结果，能够看出报错注入是成功的。

延时注入例子

上述两个延时注入的例子能够很明显的看出时间的不一样，这里就不贴图了，图片没法展现延时。。。

同时也能够用?sort=1 and 后添加注入语句。这里就不一一演示了。