报错注入小结

最新推荐文章于 2024-07-19 17:23:52 发布
最新推荐文章于 2024-07-19 17:23:52 发布
阅读量573 收藏 1
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50613938/article/details/115421460
版权

报错注入

COUNT() 函数返回匹配指定条件的行数。
COUNT(*) 函数返回表中的记录数:
COUNT(column_name) 函数返回指定列的值的数目(NULL 不计入):
COUNT(DISTINCT column_name) 函数返回指定列的不同值的数目:

一个报错语句;

select count(*),(concat(floor(rand()2),(select version())))x from users group by x
count():是一个计数的函数,count()表示所有表记录数量
1.floor()函数是用来向下取整呢个的,相当于去掉小数部分
2.rand()是随机取(0,1)中的一个数,但是给它一个参数后0,即rand(0),
2.
3.并且传如floor()后,即:floor(rand(0)*2)它就不再是随机了,序列0110110
floor rand group by 缺一不可
报错原理 floor(rand(0)*2)x 中floor负责把生成的随机数的小数去掉
但是(0)*2严格来说不算随机数 他的生成形式基本为011
所以能肯定导致报错 如果是rand()*2就会不可控
我是这么理解的:它一共有五次操作 如下:
由011011的这种形式 第一个生成的数字是0 他会检查有没有为0的键名(key) 结果当然是没有(第一次操作) 所以会插入一个虚拟表
但是在插入过程中要再取一次group by 后面的值 即再进行一次运算(第二个生成的数字是1) 所以输入的数据 key=1 value=1(第二次运算)
第三个生成的数字是1(第三次运算) 但是检查处key=1已经有了怎么办? 那就用count的方法把value+1=2 即key=1 value=2(第四次运算)

不要被上面搞晕了 一次语句执行相当于两次运算 第一次结果 1,1 第二次结果1,2
最后是第五步运算了 也就是关键所在 这时相当于一个循环了 又从头开始执行 但是结果也是1,1 已经有了重复了怎么办?所以就出错了

此时就会抛出主键冗余的异常,也就是所谓的floor报错
就是说group by是建立一个虚拟表单插入数据,插入数据在两个方向,一个key,一个value,分别从key开始输入数据,因为输入数据在第三次的时候开始重复,所以count开始加value,但到了第五次运算没有什么办法,就会产生报错了,这时候
由于updatexml的第二个参数需要Xpath格式的字符串,以~开头的内容不是xml格式的语法,concat()函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。
concat(字符串1,字符串2):把字符串连接起来
concat()函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。

报错的时候会把数据库名给爆出来。
x就是相当于 as x,设一个别名
原理:group by 查询时,先建立一个空表,用来临时存储数据,
开始查询,group by x,序列一开始为0,临时空表里不存在就填入,之后 select 中也有rand(),值为1,插入1;
查询第二条,值为1,原有值加1
查第三条,值为0,则插入select的值,为1,与原有值冲突报错。
以上原理讲得不是很透彻,直接看题目
还是根据mysql自带的数据库information_schema: 得数据库名,再得表名,列名,最后查flag

UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
示例语句;
and updataxml(1,concat(0x7e,select(user ()),0x7e),1)1
选取未知节点
XPath 通配符可用来选取未知的 XML 元素。
通配符 描述

  • 匹配任何元素节点。
    @* 匹配任何属性节点。
    node() 匹配任何类型的节点。
    实例
    在下面的表格中,我们列出了一些路径表达式,以及这些表达式的结果:
    路径表达式 结果
    /bookstore/* 选取 bookstore 元素的所有子元素。
    //* 选取文档中的所有元素。
    //title[@*] 选取所有带有属性的 title 元素。

第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
1
1 Union select count(*),concat(database(),0x26,floor(rand(0)*2))x from information_schema.columns group by x;

那么concat(user(),database(),floor(rand(0)*2))的意思就是把登录用户和数据库名以及一个不随机的随机数连起来。

第一个语句通过union注入子句和count(*)来爆出数据,下面的concat(x,x,x)和group通过临时数据表的建立重复出错来使语句报错,而concat错误的连接语句就会让错误信息error出来,我们就能知道库名了,这里我们报错的是database()的信息,下面修改database()位置的语句就能查询到该查询到库下面的表名,在进一步查询到列名,最后直接查询列知道列所关联的要查询的数据。

上方第一个语句直接报错出来数据库的名称,第二个直接通过改变语句来查找到数据库下的表的名称,这个地方的数据应该是可以替换的通过group_concat(schema_name)from information_schema.schema来查询数据库的名称,下面的也一样,我们要查询数据库下面表的名称就查table_name,在table里面。具体要看哪个数据的信息表的schema里面看(table)用where,其实除了用上面说的标错方法来说,具体思路都是一样的,注意要查询具体数据的时候,我们要查的都是在column里面
;;;;;;;全部数据库》》下属数据库中表》》下属表字段》》指定字段信息

**

常用报错注入函数

**

1.extractvalue()
应该就是由,分割当成from
extractvalue(xml_frag,xpath_expr)函数接受两个参数,第一个为XML标记内容,也就是查询的内容,第二个为XPATH路径,也就是查询的路径。如果没有匹配内容,不管出于何种原因,只要 xpath_expr有效,并且 xml_frag由正确嵌套和关闭的元素组成 - 返回空字符串。不区分空元素的匹配和无匹配。但是如果XPATH写入错误格式,就会报错,并且返回我们写入的非法内容

2.updatexml()
and updatexml(1,concat(0x7e,(select user()),0x7e),1)–+
这个的注入点就是concat所在的第二个函数了
0x7e就是ASCLL编码的~~~,
最常用的函数,而且比较好记,updatexml(xml_target,xpath_expr,new_xml)接受三个参数,此函数将XML标记的给定片段的单个部分替换为xml_target新的XML片段new_xml,然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。如果未xpath_expr找到表达式匹配 ,或者找到多个匹配项,则该函数返回原始 xml_targetXML片段。所有三个参数都应该是字符串。与extractvalue()类似,如果XPATH写入错误格式,就会报错,并且返回我们写入的非法内容。所以这里就是注入点

以最常用的updatexml()函数来举例
公式?id=1 and updatexml(1,concat(0x7e,(查询的内容),0x7e),1)
提交内容?id=1’ and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

简要说明这条公式的含义
?id=1 是可能存在URL的参数
and 是拼接符
updataxml()是函数
括号里面的concat是用于连接两个或多个数组,将其以拼接的方式输出到前端页面
0x7e是一个特殊符号 ~ 这是为了区分报错注入后的有用信息,因为页面报错包含太多没用信息
————————————————
以上函数对mysql版本有要求,Mysql版本要大于5.0 以上才能使用

3.floor

floor(x),返回小于或等于x的最大整数

select count(*),(concat(floor(rand()*2),(select version())))x from users group by x

1 Union select count(*),concat(database(),0x26,floor(rand(0)*2))x from information_schema.columns group by x;

这个就应该是floor的一个应用模式。

在对waf进行绕过时,我们首先需要知道waf到底过滤了什么,只有摸清楚WAF是如何工作的,才能更好的进行绕过,比如是白名单和黑名单,还是只拦截关键字,或是直接进行过滤去除,我们要根据页面或者URL栏给出的反馈信息,在脑海中构建好攻击绕过思路,唯有如此,我们才能更有效率的进行渗透测试
以sqli-labs靶场为例,我们可以先用常用的sql注入语句,比如:http://127.0.0.1/sqli-labs/Less-25a/?id=1’ and 1=updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) --+ ,通过页面的回显,我们可以的知后台过滤了and关键字,既然我们知道它过滤了什么,那么我们就可以针对过滤的内容去构建合适的sql语句去绕过了

落夜雨
关注
【漏洞挖掘】——116、GeometryCollection报错注入
Fly_鹏程万里
06-25 73
本篇文章我们主要对报错注入的原理进行了介绍,同时对报错注入的几种常见方式、函数,手工注入语句进行了演示介绍~其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~
mysql包错函数_Mysql报错函数小结
weixin_35051143的博客
01-21 704
前言:一直都想找个时间总结一下Mysql十大报错函数,但一直都忘了,趁着这几天玩sql-labs的时候,随便总结一下。Mysql报错函数:1、floor()2、extractvalue()3、updatexml()4、exp()5、geometrycollection()6、multiponint()7、polygon()8、multipolygon()9、linestring()10、multi...
报错注入
qq_43596950的博客
03-12 350
报错注入报错注入XML文档两个MySQL函数报错原理示例语句注意: 报错注入 XML文档 1、可扩展标记编程语言 2、作用: 1、作为最初的网页使用 2、在Java中用XML来代替properties作为配置文件 3、由于XML是树形结构,所以适用于做数据库的配置文件 3、读取方式: 1、SAX读取 2、DOM读取 3、一般采用DOM读取 两个MySQL函数 extractvalue( XML_doc, XPath_string ) updateXML( XML_doc,XPath_string, ne
concat函数_SQL报错注入常用函数
weixin_39656174的博客
11-24 418
注:本文仅供学习参考SQL报错注入定义SQL报错注入基于报错的信息获取,虽然数据库报错了,当我们已经获取到我们想要的数据。例如在增加删除修改处尝试(insert/update/delete)。报错注入条件:后台没有屏蔽数据库报错信息,在语法发生错误的时候会输出在前端。常用四个报错函数updatexml():是mysql对xml文档数据进行查询和修改的xpath函数extractvalue...
SQL注入之报错注入
最新发布
m0_63156954的博客
07-19 750
输入'and (updatexml(1,concat(0x7e,(select substring(concat('~',user,'~',password,'~'),32,35) from users limit 0,1),0x7e),1))='1。输入'and (updatexml(1,concat(0x7e,(select concat('~',user,'~',password,'~') from users limit 0,1),0x7e),1))='1。
SQL注入中的报错注入,updatexml(1,concat(0x7e,database(),0x7e),1)
m0_51756263的博客
07-15 4312
SQL注入中的报错注入,updatexml(1,concat(0x7e,database(),0x7e),1)
SQL 拼接语句输出_web安全之SQL注入基础
weixin_39779928的博客
11-21 278
本文以mysql数据库来介绍SQL注入原理产生SQL注入的原因一句话解释就是:服务端未对用户输入参数做处理,导致用户可以提交包含SQL语句的参数,服务端获取参数拼接带入数据库执行以一个示例做解释:输入参数id=1,后端执行的SQL语句如下红体字,绿体字输出了id为1的用户信息那么当输入参数 1' or '1'='1 时,后端语句如下图红体字,查询结果说明 or '1'='1' 这个恒真条件带入了数...
sqli-labs 5、6报错注入通关方式
老夏家的云
01-18 2655
sqli-labs 5、6报错注入通关方式 这篇为了代码行语法高亮好看,就把payload中sql语句之前的内容省去了,复制使用时记得在payload前面加上?id=-1' 第六关闭合方式是双引号,所以将所以payload的单引号改成双引号即可。 这里的思路,利用双查询的报错提示和information_schema库获得数据库信息,思路可见目录。 文章目录sqli-labs 5、6报错注入通关...
PHP+mysql防止SQL注入的方法小结
10-17
但使用这个函数之前必须先与数据库建立连接,否则会报错。 2. 使用addslashes()函数。这个函数会在预定义的特殊字符前面添加反斜杠,以防止SQL注入。这些预定义的字符包括单引号(')、双引号(")、反斜杠(\)和NULL。...
mssql基础(三)——mssql注入+简单绕过注入+bypass安全狗
7Riven's blog
11-07 3347
1.注入类型 布尔盲注:http://192.168.232.174/Test.aspx?id=1and ascii(substring((select top 1 name from master..sysdatabases),1,1))>100 验证如下: 时间盲注:http://192.168.232.174/test.aspx?id=1;if (ascii(substr...
SQL注入总结2(报错注入
insaneol的博客
07-11 370
在尝试进行sql注入的过程中,如果对注入点插入有语法错误的sql语句时,页面产生报错信息,说明页面存在sql注入漏洞,且可以利用报错注入来攻击。报错注入常用的函数:updatexml(1,sql,1)和extractvalue(1,sql),当找到注入点之后,如果确定可以使用报错注入,可以直接输入在注入点后直接加上或者 and extractvalue(1,concat(0x7e,(select group_concat(version())),0x7e))--+
冬令营线上直播学习笔记4——SQL注入报错注入
ISNS的博客
02-22 381
一、理论知识 1.什么是报错注入? 在MySQL中使用一些指定的函数来制造报错,后台没有屏蔽数据库的报错信息,在语法输入错误的时候将信息输出前端显示,我们可以从报错信息中获取信息。 2.报错注入常用的函数 updatexml():xml文档数据进行查询和修改的XPATH函数 extractvalue():xml文档数据进行查询和修改的XPATH函数 floor():数据库中取整的函数 二、实验 这...
记一次sql挖掘实战(报错注入
weixin_51646864的博客
04-22 3829
学习完报错注入手法后刚巧在挖洞时就遇到了一个报错注入漏洞,特此记录一下 2、抓到的数据包如下:然后送到重发器 3、尝试在mobile参数后加单引号“ ' ”,点击发送数据包 4、看到返回包中提示sql语句查询出错,所以这里存在sql注入 5、由于没有回显位,所以使用报错注入。 构造语句:1' and updatexml(1,concat(0x7e,(database()),0x7e),1)# 6、点击发送数据包后,可以在响应包中看到爆出数据库名 .
一天一道ctf 第17天(报错注入
scrawman的博客
03-30 348
[极客大挑战 2019]HardSQL 这道题的知识点是extractvalue()和updatexml()报错注入 https://blog.csdn.net/zpy1998zpy/article/details/80631036 extractvalue()函数接受两个参数,我们主要在第二个参数上做文章。看下面的这个查询数据库的payload,我们传递第二个参数为concat(0x7e,(select(database())),0x7e是’~'的十六进制表示,concat用于拼接字符串。因为extrac
sql 无法启动错误代码0x7e
leoking01的专栏
12-30 3386
错误: SQL Server 无法生成 FRunCM 线程。请查看 SQL Server 错误日志和 Windows 事件日志,获取有关可能发生的相关问题的信息。 TDSSNIClient 初始化失败,出现错误 0x7e,状态代码 0x60由于网络库中存在内部错误,所以无法启动网络库。要确定原因,请查看错误日志中紧位于此错误之前的那些错误。 TDSSNIClient 初始化失败,出现
墨者 - SQL注入漏洞测试(报错盲注)
吃肉唐僧的博客
07-07 2732
根据题意,用updatexml构造报错回显' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库 ' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表' and updatexml(1,concat(0x7e,(select table_n...
SQL Server Error: 0x7e. HPT服务起不来
qq_40604952的博客
07-02 130
配置管理器→网络配置→选中实例→禁用VIA。SQL HPT服务开不起来。SQL 错误日志报错。禁用VIA后恢复正常。
渗透测试----手把手教你SQL手工注入--(联合查询,报错注入)
weixin_52796034的博客
10-09 1676
报错注入是一种特殊的SQL注入攻击方式,它利用了应用程序对异常处理的不完善,通过在输入的SQL语句中插入恶意的SQL语句,达到获取未授权数据的目的。 在报错注入中,我们可以通过在输入的数据中插入SQL语句的异常字符,使得应用程序抛出异常,从而获取应用程序的错误信息。这些错误信息可能包含了应用程序的敏感数据,如数据库表结构、列名、存储过程等。
Web攻防训练营:GET报错注入详解
"第六节 GET报错注入-01" 在Web安全领域,GET报错注入是一种常见的SQL注入攻击方式,通常发生在使用GET方法传递参数到后台数据库查询时。这种攻击利用了应用程序对错误处理不当的漏洞,使得攻击者可以通过构造特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值