Java教程

SQL报错注入

本文主要是介绍SQL报错注入,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

报错注入在没法用union联合查询时用,但前提还是不能过滤一些关键的函数。

报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这里主要记录一下xpath语法错误concat+rand()+group_by()导致主键重复

  • 通过floor报错
and (select 1 from (select count(*),concat(( payload),floor (rand(0)*2))x from information_schema.tables group by x)a)

其中payload为你要插入的SQL语句
需要注意的是该语句将 输出字符长度限制为64个字符

超过64个字符可以使用limit不使用concat

  • 通过updatexml报错,xpath语法错误
and updatexml(1, payload,1)

函数原型:updatexml(xml_document,xpath_string,new_value)
正常语法:updatexml(xml_document,xpath_string,new_value)
第一个参数:xml_document是string格式,为xml文档对象的名称 第二个参数:xpath_string是xpath格式的字符串
第三个参数:new_value是string格式,替换查找到的负荷条件的数据 作用:改变文档中符合条件的节点的值

同样该语句对输出的字符长度也做了限制,其最长输出32位
并且该语句对payload的反悔类型也做了限制,只有在payload返回的不是xml格式才会生效

0x7e为 ASCII 编码,解析结果为 ~,使用concat 把payload`前后圈住

  • 通过ExtractValue报错,xpath语法错误
and extractvalue(1, payload)

函数原型:extractvalue(xml_document,Xpath_string)
正常语法:extractvalue(xml_document,Xpath_string);
第一个参数:xml_document是string格式,为xml文档对象的名称
第二个参数:Xpath_string是xpath格式的字符串
作用:从目标xml中返回包含所查询值的字符串

输出字符有长度限制,最长32位,payload即我们要输入的sql查询语句

0x7e为 ASCII 编码,解析结果为 ~,使用concat 把payload`前后圈住

注:

 ① 0x7e=’~’
 ② concat(‘a’,‘b’)=“ab”
 ③ version()=@@version
 ④ ‘~‘可以换成’#’、’$'等不满足xpath格式的字符
 ⑤ extractvalue()能查询字符串的最大长度为32,如果我们想要的结果超过32,就要用substring()函数截取或limit分页,一次查看最多32位
这篇关于SQL报错注入的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!