SQL注入之报错型注入

原文链接:http://wyb0.com/posts/injection-of-error-based/

前提

一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用,
它的特点是注入速度快,但是语句较复杂,不能用group_concat(),只能用limit依次猜解

利用方式

count(*)、rand()、group by三者缺一不可
报错注入用一个公式,只要套用公式即可,公式如下:
?id=2' and (select 1 from (select count(*),concat( floor(rand(0)*2),(select (select (爆错语句)) from information_schema.tables limit 0,1))x from information_schema.tables group by x )a
)--+

公式解析

floor()是取整数
rand()在0和1之间产生一个随机数
rand(0)*2将取0到2的随机数
floor(rand()*2)有两条记录就会报错
floor(rand(0)*2)记录需为3条以上,且3条以上必报错,返回的值是有规律的
count(*)是用来统计结果的,相当于刷新一次结果
group by在对数据进行分组时会先看看虚拟表里有没有这个值,没有的话就插入存在的话count(*)加1
在使用group by时floor(rand(0)*2)会被执行一次,若虚表不存在记录,插入虚表时会再执行一次

注入步骤

  • 得到闭合字符
  • 猜列数、尝试爆显示位
  • 得到数据库个数和数据库名
  • 得到表个数和表名
  • 得到列数量和列名
  • 得到列值

猜测闭合字符

SQL注入之报错型注入_第1张图片
sqli5_get_closed_character.png
SQL注入之报错型注入_第2张图片
sqli5_check_closed_character.png

猜测列数

SQL注入之报错型注入_第3张图片
sqli5_order_by.png

尝试得到显示位

SQL注入之报错型注入_第4张图片
sqli5_get_display_point.png

报错得到数据库个数

SQL注入之报错型注入_第5张图片
sqli5_get_db_num.png

报错得到数据库名

SQL注入之报错型注入_第6张图片
sqli5_get_db_name.png

报错得到表名

SQL注入之报错型注入_第7张图片
sqli5_get_table_num.png
SQL注入之报错型注入_第8张图片
sqli5_get_table_name.png

报错得到列名

SQL注入之报错型注入_第9张图片
sqli5_get_column_num.png
SQL注入之报错型注入_第10张图片
sqli5_get_column_name1.png
SQL注入之报错型注入_第11张图片
sqli5_get_column_name2.png

得到列值

SQL注入之报错型注入_第12张图片
sqli5_get_column_num.png
SQL注入之报错型注入_第13张图片
sqli5_get_column_value.png

你可能感兴趣的:(SQL注入之报错型注入)