SQL注入:floor报错注入的形成原理分析

已于 2023-01-14 14:30:02 修改
阅读量1.6k 收藏 13
点赞数 4
分类专栏: OWASP Top10 文章标签: sql 数据库 网络安全 安全 web安全
于 2023-01-13 18:05:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51789211/article/details/128677727
版权
文章深入剖析了SQL注入中的floor报错注入机制,涉及到rand()、floor()、concat()、count(*)和groupby等函数。通过实例分析,解释了如何利用这些函数构造报错注入,导致数据库返回错误信息,从而获取数据。文章还提供了一个小挑战,帮助读者检验对原理的理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

SQL注入:floor报错注入的形成原理分析

我们知道在前端不回显查询结果时,可以尝试使用报错注入来将目标数据作为错误提示的一部分显示出来。

常见的报错注入有:利用updatexml()extractvalue()"floor报错",其中"floor报错"报错的原因相对比较复杂,本文将用图文和实机操作过程来分析它的原理。

一、涉及的函数(或语法)

“ floor报错注入 ”的原理相对复杂的一个原因是在构造这种注入时使用到的sql函数(或sql语法)很多,如rand()floor()concat()count(*)order by

(如果您对它们都比较了解的话,可以直接点此阅读本文的第二部分

1.rand()

rand()函数用于随机生成一个介于0~1之间的随机浮点数

请添加图片描述在这里插入图片描述

​ 可以看到,同样的语句,每一次执行会返回不同的值。(这里添加后面from users是为了能够多展示几个由rand()生成的连续随机数)

  • 可以向rand()中传入一个参数,来得到一个固定的随机数序列

在这里插入图片描述

但当向rand()中传入参数0,无论执行多少次,都会返回相同的结果,如上图。

2.floor()

floor意为“地板”,和它的字面意思一样,它可以实现对输入参数的向下取整(去除小数部分)
在这里插入图片描述

  • 如果我们将rand()floor()结合

    那么将永远得到0
    在这里插入图片描述

    ​ 如果我们将rand()乘以2,那么将永远得到0或1

    rand()得到一个零点几的数,(rand() * 2)得到一个零点几或一点几的数,经由floor()后自然得到一个0或1)
    在这里插入图片描述

3.concat()

一个用于拼接参数的函数

在这里插入图片描述

​ 这里使用concat()来将users表中的first_namelast_name使用-拼接了起来。

4.count()

一种聚合函数,用于统计“表”中个项出现的次数,count(*)会统计NULL

5.group by

根据by后面的“某种规则”来对数据进行筛选分组

  • group by常常配合聚合函数来使用,比如count()
    在这里插入图片描述

​ 这里的SQL语句从users表中查询出first_name列对应所有值,然后group by 后面的first_name为"分组依据",并使用count(*)来对该组中的各个项来计数,最终展现为如上图的查询结果。

二、报错原理

1.原理分析

使用group bycount(*)来得到表的过程,不是" 一蹴而就 "的

​ 而是先创建一个虚拟表,将查询到的各项一个个地作统计
在这里插入图片描述

​ 如下图,每接收到一个项,数据库都会判定虚拟表中是否有何该项值相等的组键(group_key),若没有则会重新"调用"一次该项并以调用结果创建一个新的组键,若已有则给该组键对应行的count(*)列加一。

在这里插入图片描述

到目前为止,好像还是没什么问题啊?

是的,如果写入虚拟表中的键名是“死的,不变化的普通字符串”,那么没有任何问题,如上述的users表中的first_name

​ 但如果这个项是“活的、变化的”呢?

​ 前面提到给rand()中输入参数会返回一个固定的连续随机数序列,那么floor(rand(0) * 2)将固定返回" 0、1、1、0,1…"
在这里插入图片描述

​ 那么concat(floor(rand(0)*2),0x7c,(select version()))就将返回"0|5.7.26"“1|5.7.26”“1|5.7.26”“1|5.7.26”“1|5.7.26”… (0x7c代表了 | 字符)

在这里插入图片描述

如果在补全虚拟表的时候,每一次调用我们的构造项(concat(floor(rand(0)*2),0x7c,(select version()))),它都会“向下“变化。

我们假设虚拟表中有且只有"1|5.7.26",这时刚好读取到的项是"0|5.7.26",因为虚拟表中没有组键"0|5.7.26",那么会重新调用该项并以调用结果创建新组键(但因为被重新调用,该项“向下”变化,变为了"1|5.7.26",所以虚拟表是为为"1|5.7.26"创建了新组键,而此时就会报错——试图创建重复(已存在)的组键"1|5.7.26")。

2.实例验证与分析

我们可以构造"payload"来验证我们所想:

select count(*), concat(floor(rand(0)*2),0x7c,(select version()))as alia from users group by alia;
(这里的as alia是为我们构造的长长的表达式concat(floor(rand(0)*2),0x7c,(select version()))起了别名alia

在这里插入图片描述

可以看到数据库的版本信息被连带进了报错信息。
具体的报错流程如下:

在这里插入图片描述

3.一个小挑战

以下有一个选项也可以达到floor(rand(0) * 2)一样的效果

您可以通过将它们的返回前几位固定数像上面一样带入“虚拟表”来判断是哪一个?

以此检测一下自己是否真的理解了floor报错注入相关的原理。

floor(rand(1) * 2)floor(rand(2) * 2)floor(rand(3) * 2)floor(rand(4) * 2)floor(rand(5) * 2)
01100
10011
01010
01100
00110
# 答案是...
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# floor(rand(4) * 2),可以验证得知其余的构造均不可行(都会正常地创建拼接了0和1的对应组键)
24-2 SQL注入 - 利用报错函数 floor 带回回显
weixin_43263566的博客
02-09 780
这个函数用于计算满足某一条件下的行数,是SQL中的一个聚合函数,常用于统计查询结果中的记录数。: 生成一个0到1之间的随机浮点数。每次调用时,都会产生一个新的随机数。: 用于结合聚合函数,按照一个或多个列对结果集进行分组。: 向下取整函数,可以将其参数值向下舍入到最接近的整数。语句中只能包含聚合函数或在。
网络安全自学教程》- SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 1万+
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
SQL注入floor报错注入以及各个部分详细分析 + iwebsec 实例分析 + updatexml() 报错 + extractvalue() 报错
m0_50917178的博客
12-09 4264
文章目录前言一、什么是floor报错注入二、利用iwebsec模拟实际注入过程三、updatexml()和extractvalue()报错注入四、问题 前言 本文为作者的学习笔记,主要介绍了floor注入原理,利用注入代码(payload)分析每个部分的作用以此来解释floor注入原理。在解释过程中会使用phpstudy搭建的MySQL环境,并且利用iwebsec漏洞库来实践。最后顺带介绍updatexml和extractvalue报错注入。 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是
sql注入中的floor报错注入原理详解
哦 卷!
10-25 3167
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
主流关系型数据库实现整数截断的方式(FLOOR函数向下取整)
最新发布
学亮编程手记
04-17 518
确保操作数类型一致,如浮点数运算可能导致隐式转换问题。
sql注入floor报错注入原理
Bu2n的博客
12-16 1326
floor()报错 利用语句 需要配合联合查询 -1 union select count(*) from information_schema.tables group by concat(floor(rand(0)*2) ,database()) 原理 count(*)与group by配合使用过程会产生一张空的虚拟表,接着逐个查询group_key插入虚拟表中,插完调用count() 插入虚拟表过程 在查询数据的时候,首先判断虚拟表是否存在该分组,如果存在,计数器+1,不存在则新建该分组 floor(
floor报错注入原理解析
weixin_54894046的博客
05-24 1912
报错需要满足的条件: floor()报错注入在MySQL版本8.0 已失效,经过测试7.3.4nts也已失效(据说的 本人没有实践过) 注入语句中查询用到的表内数据必须>=3条 需要用到的count(*)、floor()或者ceil()、rand()、group by rand()函数详解 RAND() RAND(N) 返回一个随机浮点值 v ,范围在 0 到1 之间 (即, 其范围为 0 ≤ v ≤ 1.0)。若已指定一个整数参数 N ,则它被用作种子值,用来产生重复序列。 通俗点
Floor报错注入原理解析心得
qq_27130557的博客
10-22 3707
相关函数 1.floor() 向下取整。 即取不大于x的最大整数。取按照数轴上最接近要求值的左边值。 2.rand(x) 随机产生一个0-1之间的浮点数 当指定参数x之后,会生成固定的伪随机序列。即固定了参数,之后每次生成的值都是一样的,故称之为固定的伪随机数字(产生的数字都是可预知的) rand(0)*2 产生一个伪随机序列(结果已知),因为*2,所以返回结果只能是0或1 3.count(*) 返回值的条目,与count()的区别在于其不排除NULL,c..
关于SQL报错注入原理详细解析
qq_45672254的博客
11-17 800
关于SQL报错注入原理详细解析 之前读过多篇关于Mysql报错注入floor(rand(0)*2)报错原理探究的文章,都觉得原理阐述大同小异,但在具体细节上,还是不太明白,结合看过的文章和自己的理解,对SQL报错注入原理进行更细致的分析,身为一名网络安全小白,也是想和刚入门的同学一起研究sql注入原理,文章如果有错误的地方,希望大佬批评指正。有兴趣的同学可以查看此篇文章的链接,了解sql报错注入的一般原理:Mysql报错注入floor(rand(0)*2)报错原理探究 在报错原理分析中,主要困惑我的地方
报错注入原理分析
m0_38103658的博客
08-30 5331
报错注入原理分析 SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用。 使用报错注入的前提: 页面上没有显示位但是有sql语句执行错误信息输出位。 使用mysql_error()函数,可以返回上一个Mysql操作产生的文本错误信息。 MYSQL报错注入的分类: BIGINT等数据类型溢出 xpat...
Floor报错原理分析
weixin_33705053的博客
02-26 259
最近开始打ctf了,发现好多sql注入都忘了,最近要好好复习一下。 基础知识: floor(): 去除小数部分 rand(): 产生随机数 rand(x): 每个x对应一个固定的值,但是如果连续执行多次值会变化,不过也是可预测的 floor报错payload: select count(), floor(rand(0)2) as a from information_schema.tables...
mysql floor报错注入_MySQL floor()报错原理
weixin_33397740的博客
01-27 503
简述floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼了~ 。环境介绍下我的测试环境:MySQL版本:5.5.53使用的数据库:security.users,这数据...
4.2.1SQL注入floor报错原理
qq_64177395的博客
09-04 786
floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concant()中的SQL语句或者函数被执行,所以改语句报错而且被抛出的主键是SQL语句或数执行后的结果。
web安全】——floor报错注入
热门推荐
Demo不是emo的博客
01-06 1万+
floor报错注入深度剖析
mysql报错注入原理分析floor()
weixin_33872566的博客
06-06 789
环境:mysql 5.1.73 [root@localhost ~]# mysql --version mysql Ver 14.14 Distrib 5.1.73, for redhat-linux-gnu (x86_64) using readline 5.1 [root@localhost ~]# ...
sql group by 取每组第一条_【SQL注入】关于floor()报错注入,你真的懂了吗?
weixin_39747383的博客
11-30 297
这是酒仙桥六号部队的第35篇文章。全文共计2459个字,预计阅读时长9分钟。简述floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼了~环境介绍下我...
mysql floor报错注入_mysql报错注入原理分析floor()-阿里云开发者社区
weixin_36364419的博客
01-27 203
环境:mysql 5.1.73[root@localhost ~]# mysql --versionmysql Ver 14.14 Distrib 5.1.73, for redhat-linux-gnu (x86_64) using readline 5.1[root@localhost ~]#1.首先普及几个mysql里面的函数floor()在mysql里面floor()函数是取整(注意:不...
floor报错注入
My笔记的博客
09-27 1308
向下取整。
mysql报错注入原理_Mysql报错注入floor(rand(0)*2)报错原理探究
weixin_31481495的博客
01-19 967
一、简述floor报错注入是利用 select count(*),(floor(rand(0)*2)) x from users group by x这个相对固定的语句格式,导致的数据库报错。实际利用中通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,就实现了注入结果与报错信息回显的注入方式。具体利用本文不做阐述,本文重点探究该语句报错的原因,要理解该语句的报错原因,...
sqli-labs floor报错注入
03-20
### 关于 SQLi Labs 中 Floor 函数错误注入的学习与解决 SQL 注入是一种常见的安全漏洞,其中攻击者通过输入恶意的 SQL 查询来操纵数据库的行为。Floor 错误注入属于一种基于错误的 SQL 注入技术,在这种情况下,MySQL 数据库会返回详细的错误消息,这些消息可能泄露有关查询结构的信息。 #### 地址与环境准备 为了测试 Floor 错误注入,可以按照以下方式设置实验环境: 1. **下载并安装 sqli-labs** 可以访问 GitHub 上的项目页面[^2],克隆或下载 `sqli-labs` 到本地,并将其放置在 Web 服务器的根目录下(例如 PHPStudy 的默认路径)。完成后启动服务。 2. **创建数据库和用户权限** 使用 MySQL 创建名为 `security` 的数据库以及相应的表数据[^1]。具体操作如下: ```sql CREATE DATABASE security; USE security; SOURCE /var/www/html/sqli-labs/Less-1/to-Less-55/DB/Dumb.sql; GRANT ALL PRIVILEGES ON security.* TO 'sqli'@'localhost' IDENTIFIED BY 'sqli'; FLUSH PRIVILEGES; ``` 3. **验证 Floor 错误注入场景** 在某些练习中可能会遇到 Floor 函数引发的语法错误提示,类似于以下内容[^3]: ``` You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1' LIMIT 0,1' ``` #### Floor 错误注入原理分析 当利用 Floor 函数进行错误注入时,通常依赖于 MySQL 对非法参数处理的方式。如果传递给 Floor 的值不是合法数值,则可能导致内部计算失败从而触发异常。此时可以通过精心构造 payload 来提取目标系统的敏感信息。 以下是实现 Floor 错误注入的一个典型例子: ```sql SELECT FLOOR(POWER(EXTRACTVALUE(NULL,(SELECT VERSION())),RAND()*9e8)); ``` 此语句尝试调用 EXTRACTVALUE() 方法读取版本号字符串作为 XML 节点解析器的内容,但由于传入 NULL 参数而故意制造了一个致命错误。与此同时,FLOOR 和 POWER 组合用于放大随机数范围以便更容易捕获特定模式下的回显片段。 需要注意的是,实际应用过程中应当调整 Payload 形式适配不同上下文中变量名长度限制等因素的影响。 #### 学习资源推荐 对于希望深入理解 Floor 错误注入机制及其防御措施的人士来说,可以从以下几个方面入手获取更多知识: - 官方文档:查阅官方手册了解每种内置函数的具体行为特征。 - 社区讨论:参与 OWASP 或其他信息安全论坛上的主题交流分享经验技巧。 - 教程视频:观看 YouTube 平台上由专家录制的相关教学录像获得直观演示效果。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neonline

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值