原文链接:http://wyb0.com/posts/injection-of-error-based/
前提
一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用,
它的特点是注入速度快,但是语句较复杂,不能用group_concat(),只能用limit依次猜解
利用方式
count(*)、rand()、group by三者缺一不可
报错注入用一个公式,只要套用公式即可,公式如下:
?id=2' and (select 1 from (select <u>count(*),<b>concat( floor(rand(0)*2),(select (select (爆错语句)) from information_schema.tables limit 0,1))x</b></u> from information_schema.tables group by x )a
)--+
公式解析
floor()是取整数
rand()在0和1之间产生一个随机数
rand(0)*2将取0到2的随机数
floor(rand()*2)有两条记录就会报错
floor(rand(0)*2)记录需为3条以上,且3条以上必报错,返回的值是有规律的
count(*)是用来统计结果的,相当于刷新一次结果
group by在对数据进行分组时会先看看虚拟表里有没有这个值,没有的话就插入存在的话count(*)加1
在使用group by时floor(rand(0)*2)会被执行一次,若虚表不存在记录,插入虚表时会再执行一次
注入步骤
- 得到闭合字符
- 猜列数、尝试爆显示位
- 得到数据库个数和数据库名
- 得到表个数和表名
- 得到列数量和列名
- 得到列值
猜测闭合字符
sqli5_get_closed_character.png
sqli5_check_closed_character.png
猜测列数
sqli5_order_by.png
尝试得到显示位
sqli5_get_display_point.png
报错得到数据库个数
sqli5_get_db_num.png
报错得到数据库名
sqli5_get_db_name.png
报错得到表名
sqli5_get_table_num.png
sqli5_get_table_name.png
报错得到列名
sqli5_get_column_num.png
sqli5_get_column_name1.png
sqli5_get_column_name2.png
得到列值
sqli5_get_column_num.png
sqli5_get_column_value.png
网友评论