快捷導(dǎo)航

SQL注入之報(bào)錯(cuò)注入的具體使用

更新時(shí)間：2023年08月22日 16:05:49 作者：PT_silver

報(bào)錯(cuò)注入就是利用了數(shù)據(jù)庫的某些機(jī)制,人為地制造錯(cuò)誤條件,使得查詢結(jié)果能夠出現(xiàn)在錯(cuò)誤信息中,主要介紹了SQL注入之報(bào)錯(cuò)注入的具體使用,感興趣的可以了解一下

報(bào)錯(cuò)注入就是利用了數(shù)據(jù)庫的某些機(jī)制，人為地制造錯(cuò)誤條件，使得查詢結(jié)果能夠出現(xiàn)在錯(cuò)誤信息中。這里主要介紹報(bào)錯(cuò)注入中常用的xpath語法錯(cuò)誤和 concat+rand()+group by()導(dǎo)致主鍵重復(fù)。

1、 xpath語法

利用xpath語法錯(cuò)誤進(jìn)行報(bào)錯(cuò)注入主要利用以下兩個(gè)函數(shù)：

extractvalueupdatexml

注意: xpath語法錯(cuò)誤使用條件必須滿足mysql版本>5.1.5。

（1）extractvalue

作用：從目標(biāo)xml中返回包含所查詢值的字符串。其語法： extractvalue(xml_document,xpath_string) ，即 extractvalue('目標(biāo)xml文件名','在xml中查詢的字符串')

第一個(gè)參數(shù): xml_document是string格式，為xml文檔對(duì)象的名稱
第二個(gè)參數(shù): xpath_string是xpath格式的字符串
注意：第二個(gè)參數(shù)是要求符合xpath語法的字符串，如果不滿足要求，則會(huì)報(bào)錯(cuò)，并且將查詢結(jié)果放在報(bào)錯(cuò)信息里。

payload： select extractvalue(1,concat('~',database()))

Xpath沒問題的情況下，在1中查詢不到database()的結(jié)果，但是也沒有語法錯(cuò)誤，所以不會(huì)報(bào)錯(cuò)。

Xpath有問題的情況，用concat函數(shù)拼接一個(gè)錯(cuò)誤的Xpath讓mysql報(bào)錯(cuò)得到包含查詢值的字符串。

注意：extractvalue()能查詢字符串的最大長度為32，如果我們想要的結(jié)果趨過32，那要用substring()函數(shù)截取或limit分頁，一次查看最多32位。

（2）updatexml

作用：改變文檔中符合條件的節(jié)點(diǎn)的值，語法： updatexml(xml_document,xpath_string,new_value)

第一個(gè)參數(shù)：xml_document是string格式，為xml文檔對(duì)象的名稱；
第二個(gè)參數(shù)：xpath_string是xpath格式的字符串，第二個(gè)參數(shù)跟extractvalue函數(shù)一樣，且利用方式相同；
第三個(gè)參數(shù)：new_document是string格式，替換查找到的符合條件的數(shù)據(jù)；

payload： select updatexml(1,concat('~ ',(select version()), '~'),1)

Xpath沒問題的情況下，結(jié)果如下：

Xpath有問題的情況，結(jié)果如下。

2、concat+rand()+group by()導(dǎo)致主鍵重復(fù)

這種報(bào)錯(cuò)方法的本質(zhì)是因?yàn)閒loor(rand()*2)的重復(fù)性，導(dǎo)致group by語句出錯(cuò)。group by key的原理是循環(huán)讀取數(shù)據(jù)的每一行，將結(jié)果保存于臨時(shí)表中。讀取每一行的key時(shí)，如果key存在于臨時(shí)表中，則不在臨時(shí)表中更新臨時(shí)表的數(shù)據(jù);如果key不在臨時(shí)表中，則在臨時(shí)表中插入key所在行的數(shù)據(jù)。

floor()：對(duì)任意正或者負(fù)的十進(jìn)制值向下取整；
rand()：生成0~1之間的隨機(jī)數(shù)；
rand(0)*2：生成0~2之間的隨機(jī)數(shù)；
floor(rand()*2)：有兩條記錄就會(huì)報(bào)錯(cuò)；
floor(rand(0)*2)：記錄需3條以上，且3條以上必報(bào)錯(cuò)，返回的值有規(guī)律；
count()：是用來統(tǒng)計(jì)結(jié)果的，相當(dāng)于刷新一次結(jié)果，簡單來說就是計(jì)數(shù)；
group by()：在對(duì)數(shù)據(jù)進(jìn)行分組時(shí)會(huì)先看看虛擬表里有沒有這個(gè)值，沒有的話就插入，存在的話count()加1

payload： select 1 from (select count(*),concat((select語句),floor(rand()*2))x from information_schema.tables group by x)a

到此這篇關(guān)于SQL注入之報(bào)錯(cuò)注入的具體使用的文章就介紹到這了,更多相關(guān)SQL 報(bào)錯(cuò)注入內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: