大多数数据库都支持between and操作,但是对于边界的处理有所不同,在mysql中,between and 是包含边界的,在数学中也就是[min,max]
在盲注中应用
between and可以用来在过滤了=,like, regexp,>,<的情况下使用.
1. 配合截取函数使用
2. 截取函数被过滤
表达式
select exp between min and max
在截取字符函数被过滤的时候,设置min和 max的方式有所改变.
测试1
测试2
由测试可知,当exp为单个字符时三种区间返回值都是1,但是当exp为字符串时,当区间为a-b时,返回值为0.区间为a-c或者b-c时,返回值为1.
也就是在进行字符串比较时,只会包含一边的值,也就是[b,c).
所以在实际利用时,就要注意区间的范围.
实际测试
由结果可知,第一个字符为t
第二个字符
剩下的以此类推.最终为test.
3. 单引号被过滤
between and还支持16进制,所以可以用16进制,来绕过单引号的过滤.
测试
了解order by
order by是mysql中对查询数据进行排序的方法, 使用示例
这里的重点在于order by后既可以填列名或者是一个数字。举个例子:
id是user表的第一列的列名,那么如果想根据id来排序,有两种写法:
order by盲注
结合union来盲注
这个是在安恒杯月赛上看到的。
后台关键代码
payload
sql语句就变为
这里就会对第三列进行比较,即将字符串和密码进行比较。然后就可以根据页面返回的不同情况进行盲注。 注意的是最好加上binary,因为order by比较的时候不区分大小写。
基于if()盲注
需要知道列名
order by的列不同,返回的页面当然也是不同的,所以就可以根据排序的列不同来盲注。
示例:
这里如果使用数字代替列名是不行的,因为if语句返回的是字符类型,不是整型。
不需要知道列名
payload
如果表达式为false时,sql语句会报ERROR 1242 (21000): Subquery returns more than 1 row的错误,导致查询内容为空,如果表达式为true是,则会返回正常的页面。
基于时间的盲注
payload
测试结果
select * from ha order by if(1=1,1,sleep(1)); #正常时间 select * from ha order by if(1=2,1,sleep(1)); #有延迟
测试的时候发现延迟的时间并不是sleep(1)中的1秒,而是大于1秒。
最后发现延迟的时间和所查询的数据的条数是成倍数关系的。
计算公式:
延迟时间=sleep(1)的秒数*所查询数据条数
我所测试的ha表中有五条数据,所以延迟了5秒。如果查询的数据很多时,延迟的时间就会很长了。
在写脚本时,可以添加timeout这一参数来避免延迟时间过长这一情况。
基于rang()的盲注
原理不赘述了,直接看测试结果
可以看到当rang()为true和false时,排序结果是不同的,所以就可以使用rang()函数进行盲注了。 例
后记
order by注入在crf里其实出现挺多了,一直没有总结过.这次比较全的整理了一下(自认为比较全.XD),就和between and一起发出来了.欢迎师傅交流学习.
好了,以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对七叶笔记的支持。
