基于order by內(nèi)容的盲注
詳細說明：
對http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=zj_vote+desc 做安全檢測。
嘗試數(shù)值型注入未果。
不過，看到zj_vote+desc,想到這里也許能利用。
用工具掃它沒發(fā)現(xiàn)注入。因為mysql的union前不能帶order by。
但是order by里的內(nèi)容是不是就沒法注入了？
我不死心啊。
做了一些嘗試，發(fā)現(xiàn)order by是可以盲注的。
這種方式依賴數(shù)據(jù)庫結果中必須存在一個已知存在不一樣數(shù)值的列。
不過，既然程序里order by那個字段了，那么那個字段理論上肯定有多種值的。比如本例中的zj_vote字段.
 
漏洞證明：

看排序。236和239數(shù)值相差3，我構造一個abs(zj_vote-237-(expr)) asc.
(expr)為假時，(239-237-0)=2,(236-237-0)=1,236排前面,
(expr)為真時，(239-237-1)=1,(236-237-1)=2,239排前面,
你也許會說，你這個236和239相差是3，當然簡單了。如果相差2呢？
比如236和238怎么辦？
不賣關子了，直接告訴你吧，他不是相差2么，你可以用abs(zj_vote-236-(expr)*3)啊
 
http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=abs(zj_vote-237-(length(user())>20))+asc
 

 
 
http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=abs(zj_vote-237-(length(user())=20))+asc
 
 
 
 
修復方案：

做一個允許的排序方式組合的數(shù)組，排序方式傳排序方式的數(shù)組下標就可以了。
想直接傳字段也可以，檢查一下那個排序方式是否在數(shù)組里，不是就用默認排序方式。也就安全了。

作者 小雨

最新評論