sqli-labs中Less-5的关于双查询注入浅知识点

原创 已于 2023-04-20 20:22:50 修改 · 331 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

于 2023-04-17 23:46:50 首次发布
文章详细介绍了SQL双查询注入的概念,通过使用MySQL中的count(),rand(),floor()等函数,结合group_by语句,展示如何在聚合函数后的分组语句中暴露信息。这种方法允许攻击者通过构造特定的SQL查询来获取数据库信息,如当前数据库名、用户名和密码。

双查询注入

关于Mysql注入过程中的三种报错方式 - 网站安全 - 红黑联盟

https://www.cnblogs.com/BloodZero/p/4660971.html

sql注入之双查询注入 - 简书

sql注入那些事儿——如何优雅地进行SQL注入(3) - 简书
SQL双查询注入 详解 - 付杰博客

相关wp:

Sqli-Labs之less-5(双注入解法)_ISNS的博客-CSDN博客

双查询注入SQL Double Injection

  • 原理

               当在一个聚合函数(如count函数),后面如果使用分组语句就会把查询的一部分错误的形式显示出来,是报错形式的一种,其实就是一个select语句中再嵌套一个select语句

    对于双查询注入,需要先了解“count()、rand()、floor()、concat()”这三个函数的功能以及group by语句的用法。

 1.rand() 函数  随机生成一个0-1之间的数,包含0不包含1

值得注意的是,当rand()函数,括号里面为固定的数值,其产生的0-1之间的随机数也是固定的(伪随机)。

 

  2.floor() 函数  向下取整函数

如0-1之间的小数取整为0

3. count()函数   聚合函数,函数返回表中的记录数

如下列语句就是输出security数据库下的表的数量

 

 

4.concat函数

   可以拼接字符串

    可以拼接查询到的内容

 

5.concat_ws函数   两个或多个表达式与分隔符相加

如下列语句的意思为将  hello,the,ctf,world  四个表达式用 +  连接起来并输出

6.group_by函数    对查询结果进行分组

                 如,group_by column.name表示用column.name列查询结果进行分组

没有分组时对所有数据库中的表名的输出

 分完组后对所有数据库下的表名的输出

这里用了group by table_schema,用数据库名来对查询的结果进行分组,所以只显示了不重复的数据库,而在同一个数据库只显示其第一个表名。

  • “count()、rand()、floor()、concat()”的组合使用

产生随机整数

select floor(rand(12)*2) from information_schema.tables limit 0,6;

 在结果只能为0或1的情况下,产生的随机整数数列的前四位为0,1,1,0

count 和 group by 组合使用

统计各个数据库下中各有多少个表

select table_schema,count(*) from information_schema.tables group by table_schema;

 我们猜测在做这样的统计时,Mysql会建立一张临时表,有 group_key tally 两个字段,其中 group_key 设置了 UNIQUE(唯一)约束,即不能有两行的 group_key 列的数据值相同。

使用group by语句和count()函数的时候,mysql数据库会先建立一个虚拟表,当查询到新的键不在虚拟表中,数据库就会将其插入表中,如果数据库中已存在该键,则找到该键对应的计数字段并加1

这里借用SQL双查询注入 详解 - 付杰博客的理解

 ,

SQL双查询注入

1.获取mysql当前数据库:

2.读Mysql数据库用户名:

select concat((select user from mysql.user limit 1), floor(rand(14)*2)) c, count(*) from information_schema.columns group by c;

3.读取数据库密码

访白鹿
关注
sqli-labs Less-5报错注入
A9874564的博客
02-25 4434
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行询,就需要报错注入。 1.less 5 正常情况,我们构造闭合,发现没有问题 利用前几关的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。 发现:仅带入Sql数据进行询,没有一个合适的数据返回点,这时候可以尝试报错注入。 2.报错注入 2.1 extractvalue报错 示例: and extractvalue(null,concat(0x7e,(sql_inje.
SQL注入——sqli-labsLess-1)
E-Malon的博客
05-29 511
一边看源码,一边多方学习别人的 WriteUp,在此过程中补充基础知识,最终落到实验操作。慢慢来,比较快。欢迎大咖指导,欢迎各位网友交流经验。
sqli-labs(less5)
m0_68980215的博客
07-08 401
sql-lab lesson5
Sqli-labs less 5
weixin_34403693的博客
08-11 644
Less-5 这里说一下,有很多的blog是翻译或者copy的,这关正确的思路是盲注。从源代码中可以看到,运行返回结果正确的时候只返回you are in....,不会返回数据库当中的信息了,所以我们不能利用上述less1-4的方法 我们从这这一关开始学习盲注。结合background-2的信息,将上述能使用的payload展示一下使用方法。 利用left(database(),...
详细讲解双查询注入
weixin_34138255的博客
03-22 419
上一篇文章中,http://leaver.me/archives/2726.html我说双查询很难讲清楚,这次就试着讲一下。读了一些原理性的东西。然后尽量通俗的给大家讲清楚。。在此之前,我们理解一下子询,询的关键字是select,这个大家都知道。子询可以简单的理解在一个select语句里还有一个select。里面的这个select语句就是子询。看一个简单的例子:Sel...
双查询注入
diexingxia6458的博客
09-18 171
其实关于双查询,我是今天才看到这个名词的!它也是报错注入的一种;这是是红黑联盟的一篇文章,介绍了报错注入:http://www.2cto.com/Article/201211/166268.html 关于双查询,我们首先理解一下子询; mysql> select (select database()); +---------------------+ | (selec...
sqli-labs靶场第五关less-5
wanggonghanfei的博客
10-02 1493
sqli-labs第五关less-5用extractvalue()函数报错注入
精选资源
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-Labs的SQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
精选资源
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
精选资源
sqli-labs实验指导手册
11-17
以下是对sqli-labs实验指导手册中涉及的SQL注入知识点的详细说明: 1. **字符型联合注入**(如less-1): - **注入点检测**:通过修改询参数(如?id=1' and 1=1),观察页面响应变化来判断是否存在注入- **...
sqli-labs (less-5)
kukudeshuo的博客
03-07 4468
sqli-labs (less-5) 第五关和前面的四关就不一样了,当我们输入id=1时,页面不会再返回用户名和密码,而是返回了 You are in… 输入 http://127.0.0.1/sql1/Less-5/?id=1' 这里报错,根据错误信息我们判断为字符型注入 判断字段数 http://127.0.0.1/sql1/Less-5/?id=1' order by 3--+ http://127.0.0.1/sql1/Less-5/?id=1' order by 4--+ 判断字段数为
sqli-libs——less 5(盲注)
Fly_鹏程万里
05-08 2028
Less-5由于这一关涉及到盲注的内容,所以我们还是想来看看源代码吧:可以看到,如果运行返回结果正确的时候只返回you  are in...,不会返回数据库当中的信息了,所以我们不能之前所采用的在less-4之前的方法了。从这里开始就要进行盲注了!利用left(a,b)进行测试测试数据库版本利用left(database(),1)进行尝试http://192.168.11.136/sqli-lab...
Sqli-labs--less-5
沐目的博客
04-08 4619
sqli-labs-master/Less-5/ 字符型,报错注入 首先 ?id=1’ 报错。让后用双引号,回显正常。再使用单引号+%23,回显正常,基本可以确定是单引号字符型。但是发现使用平常的 union select ,没有任何反应。 所以这道题需要一个新的知识点,刚学sql注入的同学,可能会有一点崩溃。有两种方法,叫做报错注入,其实有三种,但是我只会两种。 一、 报错注入了解一下:(报错...
sqli-less5
weixin_30312557的博客
04-17 184
mysql基本函数 floor,count,rand,group_concat,concat floor是取底函数,经常对小数使用,例如5.4或者5.7取底就是5,只取整数的部分,不管后面小数点的大小。 rand()函数用来产生0到1之间的随机数(不包括1) concat,group_concat()函数有相似的功能,用于连接结果 测试select count(*),con...
sqli-less5(布尔盲注和报错注入
01mx的博客
03-24 910
1-4题:union注入 5-8题:布尔盲注 9-10题:延时盲注 11-12题:post形式的显错注入 13-16题:post形式的布尔盲注 17题:update语句的显错注入 18-19题:http头显错注入 20-22题:cookie显错注入 less5 输入: ?id=1 ?id=2 ?id=1 and 1=1 ?id=1 and 1=2 都显示这个,判断不是数字型, 输入: ?id=1’ and ‘1’=‘1 也显示正常; 但输入:?id=1’ and ‘1’='2 显示错误 。判
sqli-lab 闯关教程 Less-5
羽路星尘的博客
11-13 454
目录函数说明注入原理及过程演示试验结果 函数说明 实验所用核心函数: rand():是一个生成随机数的函数,他会返回0到1之间到一个值。 floor():是取整函数。 count():是一个聚合函数,用户返回符合条件的记录数量。 询相关函数: concat_ws():使用语法为:CONCAT_WS(separator,str1,str2,…) CONCAT_WS() 代表 CONCAT With Separator ,是CONCAT()的特殊形式。第一个参数是其它参数的分隔符。分隔符的位置放在要连接的
sqli less-05
ANYOUZHEN的博客
05-01 180
先使用联合询看看?id=1' union select 1,2,3--+ 因为无回显,所以尝试updatexml报错注入 ?id=1' and updatexml(1,concat(0x5e,database(),0x5e),1) --+ 得到数据库名字为security 爆列表:?id=1' and updatexml(1,concat(0x7e,(select distinct concat(0x7e, (select group_concat(table_name)),0x7e) f
SQLI-Lab】-Less5
xinyue9966的博客
01-24 322
Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)前言一、GET字符型注入二、步骤总结 前言 一、GET字符型注入 执行数据库询,并在回显点展示。 用户可以看到数据库询出错时的错误语句,就可以观察报错语句分析出询语句结构,从而构造特殊的payload进行注入,并从回显点中获取想要的信息。 二、步骤 通过报错判断类型和闭合 http://192.168.135.149/sqli/Less-5/?id=1' 进
sqli-labs less-5
阿刁〇的博客
03-30 470
文章目录sqli-labs less-5* 判断注入* 判断列数* 询详细信息 sqli-labs less-5 第五关和前面的几关不同 * 判断注入 输入?id=1 回显信息为You are in…… 判断注入类型 输入?id=1' 根据报错信息可知,注入类型为字符型 输入?id=1' --+ 回显正常 由此可知,闭合方式为’) * 判断列数 输入?id=1') order by 3 --+ 回显正常 输入?id=1') order by 4 --+ 回显错误 故字段数为3,有3列 *
sqli-labs靶场less6关
最新发布
10-15
- 引用[2]:SQLi-LABS靶场1-5通关攻略,包括一个注入示例。 - 引用[3]:sqli-labs靶场通关攻略,提到第十关。 - 引用[4]:SQL注入sqli-labs靶场less7通关攻略,涉及outfile注入。 用户询:"我想sqli - labs...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值