CTF--Web安全--SQL注入之报错注入

一、报错注入的概念

用户使用数据库查询语句，向数据库发送错误指令，数据库返回报错信息，报错信息中参杂着我们想要获取的隐私数据。通常在我们在页面显示中找不到回显位的时候，使用报错注入。

---

二、报错注入常见的三种形式

1、extractvalue报错注入

2、updatexml报错注入

3、floor报错注入

除以上三种，还有大量的报错注入形式，以上三种最为常见，其中floor报错注入较复杂。

---

三、extractvalue报错注入

extractvalue：extract(获取) + value(值，有价值的信息)

打开HackBar，注入语句：

注：1、0x7e 为 '~' 的ASCLL码，直接写 '~' 也没有问题，目的就是将 / 换作 ~ 使页面报错。

        2、concat()函数为连接函数，可以将括号中的参数拼接到一起。

        3、函数的第一个参数通常习惯用1表示，可以不用管它。

注入语句后，我们在页面报错信息中，可以看到所在数据库名称security。

   接着我们在security库中查询它的表有哪些。

  

我们查询到：security库中有 emails,refers,uagents,users四张表，根据英文释义，用户信息应该存储在users的那张表里，接着我们要查询user表中的列有哪些。

我们查询到：users表中有三列：分别是id、username、password，毫无疑问，username和password是我们要获取的数据。接着使用查询语句获取这些信息。

但是查询到的数据非常有限，只能查询到部分用户的用户名和密码，故使用substr()函数，通过手动翻页来实现查询到全部的用户信息。

注：substr(待查询字符串，查询起始位置，查询长度)。

extractvalue()报错注入最多显示30个字节。 

---

四、updatexml报错注入(细节与extractvalue几乎一致)

报错原理 约等于 extractvalue，利用~写出错误的path，使页面报错。

 注入语句，查询当前数据库库名。第一个参数和第三个参数不用管，1和3就可以，我们的目的就是让它报错。

当前库名为security，查询库中表名。

查询user库中的列名。

查询用户信息。

经过以上步骤，可以获得用户的全部信息。