首页
所有分类
TAGS
文字工具 EMOJI BIBLE
数据库 MySQL

sql注入报错之注入原理实例解析

Posted in MySQL onJune 10, 2022

前言

我相信很多小伙伴在玩sql注入报错注入时都会有一个疑问,为什么这么写就会报错?曾经我去查询的时候,也没有找到满意的答案,时隔几个月终于找到搞清楚原理,特此记录,也希望后来的小伙伴能够少走弯路

0x01

我们先来看一看现象,我这里有一个users表,里面有五条数据:

sql注入报错之注入原理实例解析

然后用我们的报错语句查询一下:

select count(*),(concat(floor(rand()*2),(select version())))x from users group by x

sql注入报错之注入原理实例解析

成功爆出了数据库的版本号。

要理解这个错误产生的原因,我们首先要知道group by语句都做了什么。我们用一个studetn表来看一下:

sql注入报错之注入原理实例解析

现在我们通过年龄对这个表中的数据进行下分组:

sql注入报错之注入原理实例解析

形成了一个新的表是吧?你其实应该能够想到group by 语句的执行流程了吧?最开始我们看到的这张sage-count()表应该时空的,但是在group by语句执行过程中,一行一行的去扫描原始表的sage字段,如果sage在sage-count()不存在,那么就将他插入,并置count()置1,如果sage在sage-count()表中已经存在,那么就在原来的count(*)基础上加1,就这样直到扫描完整个表,就得到我们看到的这个表了。

注:这里有特别重要的一点,group by后面的字段时虚拟表的主键,也就是说它是不能重复的,这是后面报错成功的关键点,其实前面的报错语句我们已经可以窥见点端倪了

sql注入报错之注入原理实例解析

0x02

正如我前面所说的,报错的主要原因时虚拟表的主键重复了,那么我们就来看一下它到底是在哪里,什么时候重复的。这里rand()函数就登场了。
首先我们先来了解rand()函数的用法:

1.用来生成一个0~1的数

2.还可以给rand函数传一个参数作为rand()的种子,然后rand函数会依据这个种子进行随机生成。

那他们的区别是什么呢?我们来看一下,这两个语句的执行效果:

sql注入报错之注入原理实例解析

可以看到rand()生成的数据毫无规律,而rand(0)生成的数据则有规律可循,是:
0110 0110

注:如果你觉得数据不够,证明不了rand()的随机性,你可以自己多插入几条数据再查询试一下。

0x03

现在我们弄清楚了group by语句的工作流程,以及rand()与rand(0)的区别,那么接下来就是重点了,mysql官方说,在执行group by语句的时候,group by语句后面的字段会被运算两次。

**第一次:**我们之前不是说了会把group by后面的字段值拿到虚拟表中去对比吗,在对比之前肯定要知道group by后面字段的值,所以第一次的运算就发生在这里。

**第二次:**现在假设我们下一次扫描的字段的值没有在虚拟表中出现,也就是group by后面的字段的值在虚拟表中还不存在,那么我们就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致错误!

所以我们现在通过一个例子来验证我们的理论,拿出我们最开始的例子:

select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x

声明:users表就是本文第一个表,表中有五条数据

注意我这里用的是rand(0),不是rand(),rand(0)生成的有规律的序列:

sql注入报错之注入原理实例解析

我们跟着刚刚的思路走,最开始的虚拟表是空的,就像下面一样:

count(*) x
   

当我扫描原始表的第一项时,第一次计算,floor(rand(0)*2)是0,然后和数据库的版本号(假设就是5.7.19)拼接,到虚拟表里去寻找x有没有x的值是x@5.7.19的数据项,结果显然是没有,那么接下来就将它插入到上表中,但是还记得吗,在插入之前会进行第二次计算,这时x的值就变成了1@5.7.19,所以虚拟表变成了下面这样:

count(*) x
1 1@5.7.19

现在扫描原始表的第二项,第一次计算x==’1@5.7.19‘,已经存在,不需要进行第二次计算,直接插入,得到下表:

count(*) x
2 1@5.7.19

扫描原始表的第三项,第一次计算x==‘0@5.7.19’,虚拟表中找不到,那么进行第二次计算,这时x==‘1@5.7.19’,然后插入,但是插入的时候问题就发生了,虚拟表中已经存在以1@5.7.19为主键的数据项了,插入失败,然后就报错了!

上面是使用rand(0)的情况,rand(0)是比较稳定的,所以每次执行都可以报错,但是如果使用rand()的话,因为它生成的序列是随机的嘛,所以并不是每次执行都会报错,下面是我的测试结果:

sql注入报错之注入原理实例解析

执行了五次,报错两次,所以是看运气。

总结

总之,报错注入,rand(0),floor(),group by缺一不可

到此这篇关于sql注入报错之注入原理实例解析的文章就介绍到这了!

sql注入报错之注入原理实例解析

- Author -

tnt阿信

- Original Sources -

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Tags in this post...

SQL注入(2)
MySQL 相关文章推荐
MySQL获取所有分类的前N条记录
May 07 MySQL
MySQL sql_mode修改不生效的原因及解决
May 07 MySQL
Mysql实现主从配置和多主多从配置
Jun 02 MySQL
Mysql 设置boolean类型的操作
Jun 04 MySQL
Unity连接MySQL并读取表格数据的实现代码
Jun 20 MySQL
分析mysql中一条SQL查询语句是如何执行的
Jun 21 MySQL
MySQL Shell import_table数据导入的实现
Aug 07 MySQL
MySQL Server层四个日志的实现
Mar 31 MySQL
MySQL 数据库 增删查改、克隆、外键 等操作
May 11 MySQL
mysql 排序失效
May 20 MySQL
MySQL数据库简介与基本操作
May 30 MySQL
MySQL 原理与优化之Update 优化
Aug 14 MySQL
MySQL如何修改字段类型和字段长度
Jun 10 #MySQL
mysql数据库实现设置字段长度
Jun 10 #MySQL
MySQL优化之慢日志查询
Jun 10 #MySQL
MySql中的json_extract函数处理json字段详情
Jun 05 #MySQL
Mysql中@和@@符号的详细使用指南
Jun 05 #MySQL
MySQL中JOIN连接的基本用法实例
Jun 05 #MySQL
MySQL中order by的执行过程
接收机(2) 电子管(5) 矿石收音机(1) TECSUN(1) 车机(1) 海燕B411(1) 放大器(1) 德生(17) 修复(2) DSP(2)
You might like
ThinkPHP验证码和分页实例教程
2014/08/22 PHP
在WordPress的后台中添加顶级菜单和子菜单的函数详解
2016/01/11 PHP
YII2框架中excel表格导出的方法详解
2017/07/21 PHP
Laravel框架FormRequest中重写错误处理的方法
2019/02/18 PHP
基于jQuery的固定表格头部的代码(IE6,7,8测试通过)
2010/05/18 Javascript
等待指定时间后自动跳转或关闭当前页面的js代码
2013/07/09 Javascript
JQuery中dataGrid设置行的高度示例代码
2014/01/03 Javascript
jQuery遍历对象、数组、集合实例
2014/11/08 Javascript
javascript arguments使用示例
2014/12/16 Javascript
jquery实现动静态条形统计图
2015/08/17 Javascript
JS实现3D图片旋转展示效果代码
2015/09/22 Javascript
jquery的ajax提交form表单的两种方法小结(推荐)
2016/05/25 Javascript
json的使用小结
2016/06/08 Javascript
jQuery继承extend用法详解
2016/10/10 Javascript
angularJS+requireJS实现controller及directive的按需加载示例
2017/02/20 Javascript
layer弹窗插件操作方法详解
2017/05/19 Javascript
vue-router 路由基础的详解
2017/10/17 Javascript
vue解决使用webpack打包后keep-alive不生效的方法
2018/09/01 Javascript
Vue动态路由缓存不相互影响的解决办法
2019/02/19 Javascript
小程序实现简单语音聊天的示例代码
2020/07/24 Javascript
layui使用及简单的三级联动实现教程
2020/12/01 Javascript
[54:25]Ti4 循环赛第三日LGD vs MOUZ
2014/07/12 DOTA
python算法演练_One Rule 算法(详解)
2017/05/17 Python
python实现Floyd算法
2018/01/03 Python
Python3 replace()函数使用方法
2018/03/19 Python
TensorFlow利用saver保存和提取参数的实例
2018/07/26 Python
Python 控制终端输出文字的实例
2019/07/12 Python
Python编程学习之如何判断3个数的大小
2019/08/07 Python
python操作openpyxl导出Excel 设置单元格格式及合并处理代码实例
2019/08/27 Python
python实现回旋矩阵方式(旋转矩阵)
2019/12/04 Python
tensorflow之变量初始化(tf.Variable)使用详解
2020/02/06 Python
如何在django中运行scrapy框架
2020/04/22 Python
详解pycharm连接远程linux服务器的虚拟环境的方法
2020/11/13 Python
美国最大的团购网站:Groupon
2016/07/23 全球购物
ghd法国官方网站:英国最受欢迎的美发工具品牌
2019/04/18 全球购物
2015年党员发展工作总结
2015/05/13 职场文书