floor()报错注入详解

floor()报错注入详解

黑客资讯访客1970-01-01 8:00:003272A+A-

0x01 简述

floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼了~

0x02 环境

介绍下我的测试环境:

MySQL版本:5.5.53

使用的数据库:security.users,这数据库是sqli-labs的,大家都很熟悉。

0x03 搞起

咱就直接抛出常用的报错语句了,语句的利用格式相对固定,咱们一点一点的拆解,一点一点说。

select count(*) from users group by concat(database(),floor(rand(0)*2));

select count(*),concat(database(),floor(rand(0)*2)) as x from users group by x;

它们表达的意思是一样的,第一个中的as x其实就是concat(database(),floor(rand(0)*2))的代指(别名),这两个SQL语句表达的意思并没什么区别。

来,让我们瞅瞅它报了什么错:

ERROR 1062 (23000): Duplicate entry 'security1' for key 'group_key'

它说'group_key'的主键'security1'重复了,嗯?'security1'从哪里来的?哪个表的主键重复了?

虽然刚开始,咱们还不知道原理,但是可以看到报错提示语句中的数据库函数已经被执行了。

就像我之前说的那样,我本身有用到sqli-labs的数据库,所以database()执行后是'security'很正常吧。

0x04 floor(rand(0)*2)

'security1'中的1便是来自floor(rand(0)*2),它说'security1'重复,那说明之前的表中已经有这个主键了。因为database()固定,我们继续来看下产生'1'的这个floor(rand(0)*2)

rand()同样是一个数学函数,它返回一个随机浮点值[0,1]

若指定一个整数参数N,则它被作用种子值(也被叫为随机因子),(rand()会根据这个种子值随机生成)用来产生重复序列,也就是rand(0)的值重复计算是固定的。

而它后面的*2,则是选定获取数据的范围[0,2],其实就是乘以2。

floor()同样是一个数学函数,返回不大于x的最大整数值,比如floor(3.3)返回3,floor(-3.3)返回-4。

现在让我们看下计算users表数据的次数,floor(rand(0)*2)的值。

可以看到rand(0)的值确实是固定的。同时1也出现了。

concat()是字符串拼接函数,拼接多个字符串,如果字符串中含有NULL,则返回结果为NULL。这样来看,concat后的结果为'security0'或'security1','security1'出现了。

分析到这,我们后半部分没什么好说的了,rand()还有一个非常重要的特性我们之后跟group by一起说。

0x05 group by 与 count(*)

咱们再来说这个count(*),这是一个聚合函数,返回值的数目,它与count()的区别是它不排除NULL。

咱们通过select count(*) from users group by username;这个查询语句来了解下group by的工作过程。

group by在执行时,会依次取出查询表中的记录并创建一个临时表,group by的对象便是该临时表的主键。如果临时表中已经存在该主键,则将值加1,如果不存在,则将该主键插入到临时表中,注意是插入!

查询前创建的空临时表。

取第一条记录,username是Dumb,发现临时表中没有该主键,则将Dumb插入到主键,count(*)值计1,取第二条记录。

同样,取第二条记录,username为Angelina,同样没有该主键,则将Angelina插入到主键,count(*)值计1。

当取到原表中第8条admin时,同样将admin作为主键插入到临时表中,并将count(*)计1.当取第15条数据时,发现临时表中已经有admin作为主键了,则直接count(*)加1。最终结果:

虽然在命令行中的显示结果跟咱的不太一样,但是思路是正确的(它貌似对结果按照字母进行了排序,又或者在插入临时表前就先进行了排序)。

写到这里,那按照上面的逻辑,报错语句应该是 select count(*) from users group by 'security0'或'security1'; 啊?!然后group by时创建临时表,第一个是security0,发现没有这个主键,此时将security0插入主键的位置,计1,然后取from表中的下一条记录。

下一条是group by 'security1',临时表中不存在security1的主键,则将security1插入主键位置,计1,然后取下一条记录。

之后group by 只有security0或security1,那应该只是计数上的变化了啊。最终应该是:

那为什么不是这个结果,反而报了主键重复的错误了呢?

因为还有一个最重要的特性,就是group by与rand()使用时,如果临时表中没有该主键,则在插入前rand()会再计算一次(也就是两次,但有些博客写的是多次,这个多次到底是几次并不知道,但是以两次来理解下面的实验都能说的通)。就是这个特性导致了主键重复并报错。我们来看:

当group by 取第一条from 表记录时,此时group by的是'security0',发现临时表中并没有'security0'的主键,注意,这个时候rand(0)*2会再计算一次,经floor()后,率先插入临时表的主键不是security0,而是security1,并计数1。

然后取第二条记录,第二条记录group by 的key中的01仍由floor(rand(0)*2)继续计算获得,也就是security1。此时临时表中已经有security1的主键了,所以count(*)直接加1就可以。

继续从from的表中取第三条记录,再次计算floor(rand(0)*2),结果为0,与database()拼接为security0,临时表的主键中并不存在,在插入前,floor(rand(0)*2)又计算一次,拼接后与secruity1,但是是直接插入,即使临时表中已经有了主键security1也硬要插入,从而导致主键重复报错,也就是:ERROR 1062 (23000): Duplicate entry 'security1' for key 'group_key'。

写道这里报错的原理已经说完了,不知道大家跟我呼应上了没,有没有感受到我的倔强及小宇宙。

0x06 优化

咱们继续看,咱们共从from的表中取了三条记录,因为floor(rand(0)*2)的值为011011...,但其实第三次计算的1可以不要的,如果某个floor(rand(x)*2)满足0101或1010,那么from的表中两条数据就是可以报错的。我经过多次实验,发现floor(rand(14)*2)的值为101000...,那么咱们创建一个有两条数据的表试一下看看。

创建一个test表,里面只有两条数据。

分别用rand(0)*2和rand(14)*2做实验。

也就是说,在测试过程中,其实使用rand(14)*2更好一丢丢。如果from的表中只有一条数据的话floor()报错注入就没法用了,毕竟是重复,只插入一条数据怎么主键重复,对吧。

0x07 总结

最后一句话总结下:floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。

好了,写到这里可终于写完了,┑( ̄Д  ̄)┍。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 笙沉饮惑2022-06-05 19:14:58
  • 07 总结最后一句话总结下:floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。好了,
  • 痴者橙柒2022-06-05 16:29:39
  • security.users,这数据库是sqli-labs的,大家都很熟悉。0x03 搞起咱就直接抛出常用的报错语句了,语句的利用格式相对固定,咱们一点一点的拆解,一点一点说。select

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理