原文链接：http://wyb0.com/posts/injection-of-error-based/

前提

一般是在页面没有显示位、但用echo mysql_error();输出了错误信息的时候使用，
它的特点是注入速度快，但是语句较复杂,不能用group_concat(),只能用limit依次猜解

利用方式

count(*)、rand()、group by三者缺一不可
报错注入用一个公式，只要套用公式即可，公式如下:
?id=2′ and (select 1 from (select <u>count(*),<b>concat( floor(rand(0)*2),(select (select (爆错语句)) from information_schema.tables limit 0,1))x</b></u> from information_schema.tables group by x )a
)–+

公式解析

floor()是取整数
rand()在0和1之间产生一个随机数
rand(0)*2将取0到2的随机数
floor(rand()*2)有两条记录就会报错
floor(rand(0)*2)记录需为3条以上，且3条以上必报错，返回的值是有规律的
count(*)是用来统计结果的，相当于刷新一次结果
group by在对数据进行分组时会先看看虚拟表里有没有这个值，没有的话就插入存在的话count(*)加1
在使用group by时floor(rand(0)*2)会被执行一次，若虚表不存在记录，插入虚表时会再执行一次

注入步骤

• 得到闭合字符
• 猜列数、尝试爆显示位
• 得到数据库个数和数据库名
• 得到表个数和表名
• 得到列数量和列名
• 得到列值

猜测闭合字符

sqli5_get_closed_character.png
sqli5_check_closed_character.png

猜测列数

sqli5_order_by.png

尝试得到显示位

sqli5_get_display_point.png

报错得到数据库个数

sqli5_get_db_num.png

报错得到数据库名

sqli5_get_db_name.png

报错得到表名

sqli5_get_table_num.png
sqli5_get_table_name.png

报错得到列名

sqli5_get_column_num.png
sqli5_get_column_name1.png
sqli5_get_column_name2.png

得到列值

sqli5_get_column_num.png
sqli5_get_column_value.png