原理
当联合注入无法回显时,可以利用报错回显,同时查询指令或者SQL函数会被执行,报错的过程可能会出现在查询或者插入甚至删除的过程中。
条件:
查询语句会被执行
报错信息有回显
常用函数
updatexml()
updatexml(目标xml内容,xml文档路径,更新的内容)
当参数2xml文档路径包含字符~
,会判断不合法,输出字符~
报错
利用concat函数将子查询语句与字符~拼接
例如:
select * from xxx where id=1 and updatexml(1,concat(0x7e,子查询语句),1)
extractvalue()
原理与updatexml基本一致,extractvalue少了一个new_xml(更新的内容)参数
例如:
select * from xxx where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)))
count()、floor、rand()、group by
count()函数用于统计表中记录,返回匹配条件的行数;
floor()函数返回小于等于参数值的最大整数;
rand()函数返回[0,1)之间的随机数;
group by函数将查询结果进行分组。
这四个函数的组合可以构造报错回显。
限制是表中必须至少有3条数据,8.x>mysql>5.0
如下例子1:
select count(*),floor(rand(0)*2) a from passwd group by a
passwd表中有6条数据
①floor(rand(0)*2)
rand()函数产生0到1的随机数
当设置参数为0时,rand(0)产生伪随机数,即数值是固定的
则select rand(0) from passwd
会产生固定的6条数据值
通过floor(rand(0)*2)
取整,可以巧妙地将这6条数据变为011011
的数据序列
②floor(rand(0)2) a
即将查询字段重命名为a
③select count(),floor(rand(0)*2) a from passwd group by a
大体意思就是从passwd表中以floor(rand(0)*2)字段值(命名为 a字段)为种类,对出现的种类用count函数进行计数统计。
④很正常的一条统计语句,关键在于group by的处理机制
由于随机函数rand(0)和常规数值不同,group by在处理时会建立虚拟表,类似于缓存,在查询时先执行随机函数再插入到虚拟表中,这就造成写入和插入一条记录时,rand(0)会被各执行一次。
⑤问题出在写入第三条记录时,会造成主键冲突,即③中提到的‘种类’一词,具体过程参考大佬文章
执行例子1,可以看到报错:group_key字段值‘1’重复写入
所以报错回显点在**floor(rand(0)*2)**参数处
利用之前提到的concat函数执行子查询,令查询结果和主键冲突报错一起回显
如下例子2:
select count(*),concat(0x3a,(select user()),0x3a,floor(rand(0)*2)) a from passwd group by a
0x3a即用:分隔一下回显结果
为了保险起见,可以利用information_schema库中的表,避免出现记录少于三条不报错的情况。
不太常用函数
exp
exp(x)返回 e 的 x 次方,当数据过大溢出时报错,即 x > 709
payload:
exp(~(select * from (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from xxx),0x7e))) as a))
geometrycollection
适用mysql5.5
geometrycollection用于构建空间几何对象,通过将参数设为字符串造成报错,类似的还有multipoint
函数参数形式:
geometrycollection(piont(10 10), point(30 30), linestring(15 15, 20 20))
payload:
geometrycollection((select * from(select * from(select version())a)b))
multipoint((select * from(select * from(select version())a)b))
……
还有很多可以构造报错注入的函数,参考大佬文章