sql 从三个值中取随机数_渗透测试之SQL注入(四)

最新推荐文章于 2021-02-02 10:05:45 发布
最新推荐文章于 2021-02-02 10:05:45 发布
阅读量346 收藏
点赞数
文章标签: sql 从三个值中取随机数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39709979/article/details/111388140
版权

前文写的是boolean注入,今天来给师傅们写写报错注入。

一、什么是报错注入

顾名思义,报错注入就是通过页面爆出的错误信息,构造合适的语句来获取我们想要的数据,本章节讲述的注入,数据库为MySQL。

二、出现报错注入的原因

首先是应用系统未关闭数据库报错函数,对于一些SQL语句的错误,直接回显在了页面上,部分甚至直接泄露数据库名和表名;

其次,必不可少就是后台未对MySQL相应的报错函数进行过滤

三、集中常见的报错注入用到的函数

1.updatexml()

2.floor()

3.extractvalue()

4.exp()

但这里使用最为常见的还是updatexml()函数

四、updatexml()的使用方法

updatexml()的语法为

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数:XML_document是String格式,为XML文档对象的名称

第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。

第三个参数:new_value,String格式,替换查找到的符合条件的数据

如果找不到相应的xpath路径,updatexml函数就会报出错误

concat()函数。此函数用于连接字符串;由于updatexml()函数xpath路径需要连接特殊字符,被连接的特殊字符需要进行16进制编码

concat_ws()函数。语法concat_ws(0x7e,database(),use()),会把查出来的库名和用户通过~连接起来完成报错

下面我门可以进入到sqli-lab的第五关

输入?id=1看看是什么个样子

08cceb08-8b39-eb11-8da9-e4434bdf6706.jpeg

出现了一个You are in.......的字样

那我们在后面再加一个单引号闭合看看出现什么

dc52dba55a59674509448334f91d2364.png

这里爆出了错误语句,这个时候我们就可以利用我们报错注入来进行注入了

我们可以利用如下的payload

?id=-1'union select count(*),count(*), concat('~',(select database()),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

这里就爆出了数据库名

df27f5dd2ec44e03d4f418c7e0853be4.png

接下来就是表名、字段名等,那么这个payload实现的原理是什么呢。

几个关键函数的说明

rand(0)*2

rand() 可以产生一个在0和1之间的随机数。c02c8b71c94d8a2836b4eadcab6f5268.png

可见,每次产生的都不一样。当我们提供一个种子参数 0 后,再次查看:7ee6342c6f1f703ac26e05018928685d.png

可以发现,每次产生的值都是一样的。也可以称之为伪随机(产生的数据都是可预知的)。
查看多个数据看一下。( test 是我之前创建的一个拥有9条数据的表)7ee6342c6f1f703ac26e05018928685d.png

发现第一条数据与刚才查看的单个数据相符合,其它的数据也完全一样。
为什么要乘以 2 呢?这就要配合 floor 函数来说了。

floor(rand(0)*2)

floor() 返回小于等于该值的最大整数。
之前我们了解到,rand() 是返回 0 到 1 之间的随机数,那么乘 2 后自然是返回 0 到 2 之间的随机数,再配合 floor() 就可以产生确定的两个数了。也就是 0 和 1。d80ac524857c212510373c520e551a87.png

为什么需要这两个数呢?

group by 与 count(*)

group by 主要用来对数据进行分组(相同的分为一组),这里与count() 结合使用。举个例子就一目了然了。d80ac524857c212510373c520e551a87.png

可以观察到,这里对重复性数据进行了整合,然后计数。

重点来了,也就是在这个整合然后计数的过程中,中间发生了什么我们是必须要明白的。
经过网上查询,发现mysql遇到该语句时会建立一个虚拟表。该虚拟表有两个字段,一个是分组的 key,一个是计数值 count(*)。也就对应于上个截图中的 prod_price 和 count(*)。
然后在查询数据的时候,首先查看该虚拟表中是否存在该分组,如果存在那么计数值加1,不存在则新建该分组。

报错分析

rand()的特殊性

select count(*) from test group by floor(rand(0)*2);

而又因为 rand 函数的特殊性(如果使用rand()的话,该值会被计算多次)。
在这里的意思就是,group by 进行分组时,floor(rand(0)*2)执行一次(查看分组是否存在),如果虚拟表中不存在该分组,那么在插入新分组的时候 floor(rand(0)*2)就又计算了一次。(其实在上述 rand(0) 产生多个数据的时候,也能观察出来。只要 rand(0) 被调用,一定会产生新值)。

这样,所有的理论细节就全部明朗了。

报错

还记得我们之前产生的疑问,为什么要用 floor(rand(0)*2产生 0 和 1 这两个数吗?3aa3d6b0537d1eaa22ccb2f677fb6b26.png

当 group by 对其进行分组的时候,首先遇到第一个值 0 ,发现 0 不存在,于是需要插入分组,就在这时,floor(rand(0)*2)再次被触发,生成第二个值 1 ,因此最终插入虚拟表的也就是第二个值 1 ;然后遇到第三个值 1 ,因为已经存在分组 1 了,就直接计数加1(这时1的计数变为2);遇到第四个值 0 的时候,发现 0 不存在,于是又需要插入新分组,然后floor(rand(0)*2)又被触发,生成第五个值 1 ,因此这时还是往虚拟表里插入分组 1 ,但是,分组 1 已经存在了!所以报错!30b9d3a5081b261a10e393d62b624571.png

总结

可见,floor(rand(0)*2的作用就是产生预知的数字序列01101,然后再利用 rand()的特殊性和group by的虚拟表,最终引起了报错。

weixin_39709979
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
1_1. 产生100个随机数_求其最小和最大以及平均_
10-03
1. 产生100个随机数
0-999随机数_quartus随机数_vhdl_随机数生成器_随机数电路_随机数_
10-04
1. 设计并实现一个随机数生成电路,每2秒随机生成一个0~999之间的数字,并在数码管上显示生成的随机数。2. 为系统设置一个复位键,复位后数码管显示“000”,2秒后再开始每2秒生成并显示随机数,要求使用按键复位。
威布尔分布.zip_威布尔_威布尔分布_威布尔分布随机_威布尔随机数_韦伯分布
07-15
产生随机数,输入weibplot*(y)可以看是否符合威布尔分布
平方随机数_并且搭建了QTdesigner界面_平方随机数_
10-02
引用QT designer 用平方法来进行求解随机数
sql 从三个随机数_一条看似不合理SQL和10个合理的解释
weixin_39956353的博客
11-21 327
有一天看到了一个开发同学提的问题,感觉蛮有意思,就稍花了些时间总结了下,问题描述如下:开发的时候碰到类似这么一个问题:mysql有表:create table dept( id int auto_increment primary key comment 'id', level int comment '权重,1--普通员工,2--经理', name varcha...
sql 随机抽几条数据的方法 推荐
12-15
传说用这个语句管用:select top 5 * from tablename order by newid() 我放到sql的查询分析器里去执行果然管用,随机抽5条信息,不停的换,结果我应用到程序里的时候就不管用了,总是那几条,于是对这个东西进行了一个研究得出另一种方法: newid() 可以产生如:”49869293-8891-4B31-B88E-A584D9621490” 这样的数据结果,而且每一行产生的都不同,这样的话,我们就可以在查询的时候给结果集里加上这么一个列,比如: select *,newsid() from 表名 然后我们在给这个结果集排序,因为每次newid()所产生的
MSSQL的随机函数
weixin_34162695的博客
05-26 362
随机函数:rand()在查询分析器执行:select rand(),可以看到结果会是类似于这样的随机小数:0.36361513486289558,像这样的小数在实际应用用得不多,一般要随机数都会随机整数。那就看下面的两种随机整数的方法: 1、A:select  floor(rand()*N)  ---生成的数是这样的:12.0B:select cast( floor(rand()*N...
mysql floor报错注入_MySQL报错注入
weixin_33229152的博客
01-27 146
MySQL报错注入简介总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面没有显示位,但是用echo mysql_error();输出了错误信息时使用。foor报错注入报错型注入则是利用了MySQL的第8652号bug :Bug #8652 group by part of rand() returns duplicate key error来进行的,使得MySQL由于函数的特性返回错误...
mysql floor报错注入_MySQL报错注入总结
weixin_39947351的博客
01-19 134
mysql暴错注入方法整理,通过floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法。报错注入:(and后不能直接跟select,可以加())1.报错注入floor---->(select 1 from (select count(*),concat((payload[]),floor(ra...
mysql的floor()报错注入方法详细分析(转载)
weixin_41860012的博客
02-24 448
mysql的floor()报错注入方法详细分析 本文转载。 作者:小friend 出处:https://sfriend.cnblogs.com/ 刚开始学习sql注入,遇见了 select count(*) from table group by floor(rand(0)*2); 这么条语句。在此做个总结。 (更好的阅读体验可访问 原作者链接 ) 首先,只要该语句明白了,那么类似select c...
随机数排序_20个随机数_数组排序_源码
10-02
随机产生20个数,进行排序输出。随机数为0到999之间的任意一个数。
MySQL数据库随机数据(比如选择题随机3个选项)
Mr_chen的博客
11-06 4771
MySQL数据库随机(比如选择题随机3个选项) mysql随机数据 语法如下: SELECT 字段 FROM 表明 WHERE条件 order by rand() limit 3 场景 近日遇到一个场景如下: 题目问答: 有选择题和判断题两种,视为问题表(又分父母题型和孩子题型) 当获得题目后,选择题要求随机三个选项,多了可以类推,要求最后一个选项为填空(即自己写入答案) 问题来了...
坦克大战小游戏个人项目实战02
qq_43775449的博客
10-29 313
1、方块移动控制 上次写到了要让自己的方块单方向移动,那么我们如何控制我们的方块听从我们从键盘数入的指令,使他能够上下左右的移动起来呢,还上前面介绍国的方法,使用继承自KeyAdpter类的键盘监听器,监听我们输入的指令来控制方块的移动,话不多说直接看代码: class mykeyListener extends KeyAdapter{ @Override public void keyPressed(KeyEvent e) { //键盘按下 // TODO Auto-genera
mysql floor报错注入_MySQL floor()报错原理
weixin_33397740的博客
01-27 434
简述floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼了~ 。环境介绍下我的测试环境:MySQL版本:5.5.53使用的数据库:security.users,这数据...
mysql6种报错注入_十种MySQL报错注入
weixin_31108679的博客
01-27 122
以下均摘自《代码审计:企业级Web代码安全架构》一书1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); 2.extractvalue()sele...
SQL从数据库随机数据(原文转自博客园)
热门推荐
weixin_34416754的博客
06-27 1万+
如何随机记录?(MSSQL、Access、MySql) 1、数据量少的时候可以使用sql自带的newid()函数 select top 7 from table order by newid() select top 5 a.columName from (select distinct columName from tableName) a order by newid() 2、数据量大...
mysql报错注入实战_十种MySQL报错注入
weixin_35377249的博客
02-02 95
以下均摘自《代码审计:企业级Web代码安全架构》一书1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);2.extractvalue()selec...
mysql 注入用例_mysql-常用注入渗透手法
weixin_42127020的博客
01-19 229
mysql:内置函数常用函数:left(), mid(), ord(), length(),benchmark(),load_file(), outfile(),concat(),系统重要信息:system_user(), user(), current_user, session_user(), database(), version(),ASCII码:select char(97,100...
Eolinker——代码注入插入随机参数
weixin_30572613的博客
10-17 230
因为目前eolinker的API自动化测试不支持“构造参数”,所以用到随机数时,可使用代码注入的方式来实现 分步指南 示例:“重置密码”接口,每次运行重置的密码要求不重复 再此接口的“代码注入”区域写如下信息 “请求体”删除password的参数,也可直接删除此字段,但是为了后期方便查看,不建议删除,直接为空即可 如上执行完,保存,测试即可看...
SQL server2008随机数
最新发布
04-27
SQL Server 2008,可以使用RAND()函数来生成随机数。例如,要生成一个0到1之间的随机数,可以使用以下语句: ``` SELECT RAND() ``` 如果要生成一个整数类型的随机数,可以使用以下语句: ``` SELECT CAST...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值