SQL注入:floor报错注入的形成原理分析

已于 2023-01-14 14:30:02 修改
阅读量1.1k 收藏 12
点赞数 3
分类专栏: OWASP Top10 文章标签: sql 数据库 网络安全 安全 web安全
于 2023-01-13 18:05:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51789211/article/details/128677727
版权

文章目录

SQL注入:floor报错注入的形成原理分析

我们知道在前端不回显查询结果时,可以尝试使用报错注入来将目标数据作为错误提示的一部分显示出来。

常见的报错注入有:利用updatexml()extractvalue()"floor报错",其中"floor报错"报错的原因相对比较复杂,本文将用图文和实机操作过程来分析它的原理。

一、涉及的函数(或语法)

“ floor报错注入 ”的原理相对复杂的一个原因是在构造这种注入时使用到的sql函数(或sql语法)很多,如rand()floor()concat()count(*)order by

(如果您对它们都比较了解的话,可以直接点此阅读本文的第二部分

1.rand()

rand()函数用于随机生成一个介于0~1之间的随机浮点数

请添加图片描述在这里插入图片描述

​ 可以看到,同样的语句,每一次执行会返回不同的值。(这里添加后面from users是为了能够多展示几个由rand()生成的连续随机数)

  • 可以向rand()中传入一个参数,来得到一个固定的随机数序列

在这里插入图片描述

但当向rand()中传入参数0,无论执行多少次,都会返回相同的结果,如上图。

2.floor()

floor意为“地板”,和它的字面意思一样,它可以实现对输入参数的向下取整(去除小数部分)
在这里插入图片描述

  • 如果我们将rand()floor()结合

    那么将永远得到0
    在这里插入图片描述

    ​ 如果我们将rand()乘以2,那么将永远得到0或1

    rand()得到一个零点几的数,(rand() * 2)得到一个零点几或一点几的数,经由floor()后自然得到一个0或1)
    在这里插入图片描述

3.concat()

一个用于拼接参数的函数

在这里插入图片描述

​ 这里使用concat()来将users表中的first_namelast_name使用-拼接了起来。

4.count()

一种聚合函数,用于统计“表”中个项出现的次数,count(*)会统计NULL

5.group by

根据by后面的“某种规则”来对数据进行筛选分组

  • group by常常配合聚合函数来使用,比如count()
    在这里插入图片描述

​ 这里的SQL语句从users表中查询出first_name列对应所有值,然后group by 后面的first_name为"分组依据",并使用count(*)来对该组中的各个项来计数,最终展现为如上图的查询结果。

二、报错原理

1.原理分析

使用group bycount(*)来得到表的过程,不是" 一蹴而就 "的

​ 而是先创建一个虚拟表,将查询到的各项一个个地作统计
在这里插入图片描述

​ 如下图,每接收到一个项,数据库都会判定虚拟表中是否有何该项值相等的组键(group_key),若没有则会重新"调用"一次该项并以调用结果创建一个新的组键,若已有则给该组键对应行的count(*)列加一。

在这里插入图片描述

到目前为止,好像还是没什么问题啊?

是的,如果写入虚拟表中的键名是“死的,不变化的普通字符串”,那么没有任何问题,如上述的users表中的first_name

​ 但如果这个项是“活的、变化的”呢?

​ 前面提到给rand()中输入参数会返回一个固定的连续随机数序列,那么floor(rand(0) * 2)将固定返回" 0、1、1、0,1…"
在这里插入图片描述

​ 那么concat(floor(rand(0)*2),0x7c,(select version()))就将返回"0|5.7.26"“1|5.7.26”“1|5.7.26”“1|5.7.26”“1|5.7.26”… (0x7c代表了 | 字符)

在这里插入图片描述

如果在补全虚拟表的时候,每一次调用我们的构造项(concat(floor(rand(0)*2),0x7c,(select version()))),它都会“向下“变化。

我们假设虚拟表中有且只有"1|5.7.26",这时刚好读取到的项是"0|5.7.26",因为虚拟表中没有组键"0|5.7.26",那么会重新调用该项并以调用结果创建新组键(但因为被重新调用,该项“向下”变化,变为了"1|5.7.26",所以虚拟表是为为"1|5.7.26"创建了新组键,而此时就会报错——试图创建重复(已存在)的组键"1|5.7.26")。

2.实例验证与分析

我们可以构造"payload"来验证我们所想:

select count(*), concat(floor(rand(0)*2),0x7c,(select version()))as alia from users group by alia;
(这里的as alia是为我们构造的长长的表达式concat(floor(rand(0)*2),0x7c,(select version()))起了别名alia

在这里插入图片描述

可以看到数据库的版本信息被连带进了报错信息。
具体的报错流程如下:

在这里插入图片描述

3.一个小挑战

以下有一个选项也可以达到floor(rand(0) * 2)一样的效果

您可以通过将它们的返回前几位固定数像上面一样带入“虚拟表”来判断是哪一个?

以此检测一下自己是否真的理解了floor报错注入相关的原理。

floor(rand(1) * 2)floor(rand(2) * 2)floor(rand(3) * 2)floor(rand(4) * 2)floor(rand(5) * 2)
01100
10011
01010
01100
00110
# 答案是...
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# .
# floor(rand(4) * 2),可以验证得知其余的构造均不可行(都会正常地创建拼接了0和1的对应组键)
Neonline
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SQL注入原理与解决方法代码示例
09-09
主要介绍了SQL注入原理与解决方法代码示例,小编觉得还是挺不错的,这里分享给大家,供需要的朋友参考。
高级SQL注入:混淆和绕过.pdf
03-21
高级SQL注入:混淆和绕过 本文总结了高级SQL注入技术,包括混淆和绕过技术,旨在帮助安全研究人员和开发者更好地理解和防止SQL注入攻击。下面是本文中提到的关键知识点: 1. 过滤规避(Mysql):通过使用特殊的SQL...
第五十八章 SQL函数 FLOOR
yaoxin521123的博客
02-19 7148
文章目录第五十八章 SQL函数 FLOOR大纲参数描述示例 第五十八章 SQL函数 FLOOR 数值函数,返回小于或等于给定数值表达式的最大整数。 大纲 FLOOR(numeric-expression) {fn FLOOR(numeric-expression)} 参数 numeric-expression - 下限要计算的数字。 FLOOR返回与NUMERIC-EXPRESSION相同的数据类型。 描述 FLOOR返回小于或等于NUMERIC-EXPRESSION的最接近的整数值。返回值的小数位
Mysql报错注入floor报错详解
最新发布
qq_64395221的博客
05-21 830
​security1security1security1。
web安全】——floor报错注入
Demo不是emo的博客
01-06 1万+
floor报错注入深度剖析
sql注入中的floor报错注入原理详解
哦 卷!
10-25 2375
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
Floor报错注入原理解析心得
qq_27130557的博客
10-22 3015
相关函数 1.floor() 向下取整。 即取不大于x的最大整数。取按照数轴上最接近要求值的左边值。 2.rand(x) 随机产生一个0-1之间的浮点数 当指定参数x之后,会生成固定的伪随机序列。即固定了参数,之后每次生成的值都是一样的,故称之为固定的伪随机数字(产生的数字都是可预知的) rand(0)*2 产生一个伪随机序列(结果已知),因为*2,所以返回结果只能是0或1 3.count(*) 返回值的条目,与count()的区别在于其不排除NULL,c..
floor报错注入原理解析
weixin_54894046的博客
05-24 1578
报错需要满足的条件: floor()报错注入在MySQL版本8.0 已失效,经过测试7.3.4nts也已失效(据说的 本人没有实践过) 注入语句中查询用到的表内数据必须>=3条 需要用到的count(*)、floor()或者ceil()、rand()、group by rand()函数详解 RAND() RAND(N) 返回一个随机浮点值 v ,范围在 0 到1 之间 (即, 其范围为 0 ≤ v ≤ 1.0)。若已指定一个整数参数 N ,则它被用作种子值,用来产生重复序列。 通俗点
sql注入原理及php防注入代码.doc
12-02
SQL注入原理及PHP防注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来...防止SQL注入需要了解SQL注入原理和防止SQL注入的方法,使用防注入函数和代码来防止SQL注入
Sql注入原理简介_动力节点Java学院整理
09-09
了解SQL注入原理和防范措施是保障Web应用安全的关键。 1. SQL注入的定义: SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面...
SQL注入介绍与原理分析
03-28
下面将详细阐述SQL注入原理、常见类型及其防范措施。 一、SQL注入原理 SQL注入的基础在于应用程序没有充分验证或转义用户提供的输入。当用户提交的数据被直接拼接到SQL查询中时,恶意输入就可能改变查询的原始...
SQL注入报错注入floor()报错注入原理分析
黄乔国PHP
02-27 2280
对于extractValue和updateXML函数来说比较好理解,就不做解释了,这里只对floor函数的报错注入进行讲解。首先我们先要知道floor()报错注入的形式:这个相对固定的语句格式,导致的数据库报错。实际利用中通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,就实现了注入结果与报错信息回显的注入方式。所以我们如果想要理解floor()报错注入原理,我们首先需要明白:rand(),floor(),group by, count()这几个的意思。
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1088
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
[SQL挖掘机] - 算术函数 - floor
统计小白er & paul_work
07-26 484
floor函数用于向下取整。它接受一个数字作为参数,并返回不大于该数字的最大整数。
sql中详解round(),floor(),ceiling()函数的用法和区别?
热门推荐
lanchengxiaoxiao的专栏
08-31 2万+
round() 遵循四舍五入把原值转化为指定小数位数, 如:round(1.45,0) = 1;round(1.55,0)=2 floor()向下舍入为指定小数位数 如:floor(1.45,0)= 1;floor(1.55,0) = 1 ceiling()向上舍入为指定小数位数 如:ceiling(1.45,0) = 2;ceiling(1.55,0)=2   sql 中isnull函
最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结
Welcome To Myon'Blog !
12-24 4585
extractvalue() 能查询字符串的最大长度为 32,如果我们想要的结果超过 32,就要用 substring() 函数截取或 limit 分页,一次查看最多 32 位。其实有时候我们可以使用group_concat()将所以查询内容列出,但是要取决于题目具体环境,如果无法使用,则使用limit语句来限制查询结果的列数,逐条查询。但是这里回显要么存在,要么无回显,因此无法使用联合查询注入,而且也不存在回显为真或者假两种情况,排除掉盲注,那么这关需要使用的是报错注入
SQL 常见函数整理 _ FLOOR() 向下取整函数
gly1653810310的博客
10-08 682
SQL 中向下取整函数 FLOOR
SQL Server研习录(20)——FLOOR()函数
清风不渡
01-21 2103
SQL Server研习录(20)——FLOOR函数版权声明一、FLOOR()函数1、基本语法2、示例 版权声明 本文原创作者:清风不渡 博客地址:https://blog.csdn.net/WXKKang 一、FLOOR()函数   返回小于或等于指定数值表达式的最大整数,向下取整 1、基本语法   基本语法如下: FLOOR ( numeric_expression )   注释: ...
SQL注入floor报错注入
weixin_46133275的博客
09-08 1760
SQL注入floor报错注入原理一、count()函数、group by二、floor()函数三、rand()函数四、报错初体验五、报错注入1、获取当前数据库2、获取当前用户六、靶场报错注入1、获取当前数据库2、获取表名3、获取字段名4、获取字段内容总结 原理 通过使用count()、floor()、rand()、group by四个条件形成主键重复的错误 count():计算满足某一条件下的行数 floor():向下取整的函数 rand():生成0~1之间的浮点数 count():group
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neonline

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值