SQL注入:报错型盲注利用的BUG #8652详解

最新推荐文章于 2020-12-23 10:32:59 发布
最新推荐文章于 2020-12-23 10:32:59 发布
阅读量663 收藏 4
点赞数 1
分类专栏: Web安全 文章标签: sql mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/104168777
版权

文章目录

参考

原理参考
mysql-bug #8652

BUG #8652

BUG #8652的主要内容就是在同时使用RAND()函数,聚集函数COUNT()GROUP BY子句进行操作时会返回duplicate key 错误,而这个错误将会披露关键信息,如

“Duplicate entry ‘####’ for key 1”

这里的####正是返回了攻击者希望查询的内容

如果没有用到COUNT()的话是不会报错的
在这里插入图片描述

影响版本

目前测试结果为5.x版本有影响
8.x版本不会回显payload的结果,只会返回一个发生错误的临时表的位置(?)
在这里插入图片描述

复现

SELECT COUNT(*), CONCAT(0x23, 0x23, (SELECT database()), 0x23, 0x23, FLOOR(RAND(0)*2)) AS wuming from information_schema.columns GROUP BY wuming;

在这里插入图片描述中间的security正是SELECT database()的结果
至于从哪个表中查找数据是无所谓的,唯一重要的是你得确定这张表存在而且表中的数据列数应该大于某个特定的值(稍后做解析),所以选用INFORMATION_SCHEMA下表的原因是因为它肯定存在,比如换一个数据库也一样,反正最后是利用报错爆出信息
在这里插入图片描述

餐前准备

在这里插入图片描述INFORMATION.SCHEMATA一共有11行所以执行了11次
在这里插入图片描述在这里插入图片描述这样使用 rand 函数生成的小数序列都是一样的
具体原因不知道…
在这里插入图片描述
还有很重要的一点是COUNTGROUP BY的顺序
在这里插入图片描述在这里插入图片描述
先根据class对选回来的数据建立临时表并进行分组
边分组边统计每组数目
在这里插入图片描述

正餐

看一下payload

SELECT 
COUNT(*), 
CONCAT(0x23, 0x23, (SELECT database()), 0x23, 0x23, FLOOR(RAND(0)*2)) AS wuming 
FROM information_schema.columns 
GROUP BY wuming;

使用EXPLAIN可以看到这个查询建立了临时表
临时表参考
在这里插入图片描述
payload的执行也类似
在这里插入图片描述可以看到没有用到COUNT()时运行良好,并不会报错
如果加了COUNT(*)
首先看一下报错信息

Duplicate entry '##security##1' for key '<group_key>'

什么是<group_key>
使用临时表实现GROUP BY
按我的理解<group_key>应该是分组后唯一标识一个组的字段
就好像Primary Key是唯一标识一行数据的字段
所以<group_key>的值也不可以重复
如果重复了就会报上面的错误
那为什么会报错呢
看一下官网给的描述
画重点:查询同一行时会多次调用RAND()
在这里插入图片描述
先看一个不会报错的RAND(8)
不进行COUNT()时调用RAND(8)生成的wuming如下
在这里插入图片描述
调用COUNT时
在这里插入图片描述
限制条件id < 2使得只查出了一条记录
正常情况下临时表中wuming的值应该是 调用一次RAND()时生成的'##security##0'
此时临时表中并无'##security##0'这个group_key,于是需要插入键值为'##security##0'的记录
这时就触发了BUG #8652,使其又调用了一次RAND(),所以实际插入的是第二次得到的'##security##1'

查出两条记录时
在这里插入图片描述
此时已经调用过了两次RAND(),查出第二条记录时再次调用RAND(),得到的是'##security##1'
这时临时表中已经有这个group_key了,无需插入新记录,所以不触发BUG,而只是COUNT += 1

查出三条记录时,发现需要插入group_key为'##security##0'的新记录,又触发了BUG,再次调用RAND(),只不过这次生成的刚好也是'##security##0'
在这里插入图片描述查四条记录时,可以自己推一下
在这里插入图片描述

BUG #8652 至此可以总结为,同时调用聚集函数,RAND(),和GROUP BY时,当临时表中需要插入新记录时,会调用两次RAND(),实际插入的是第二次调用RAND()的返回值,当不需要插入新记录时,只调用一次,正常,无BUG。

那什么情况下会报错呢
以RAND(0)为例
在这里插入图片描述
设产生的一个临时表(字段wuming为<group_key>)如下

wumingcount

初始时为空

  1. 在INFORMATION_SCHEMA.SCHEMATA中查到了第一行数据,调用一次RAND(),得到wuming字段的值为'##security##0',需要插入新记录,触发8652号BUG使其又调用了一次RAND(),得到了 '##security##1',这时才会把第二次得到的'##security##1'插入临时表中
wumingcount
##security##11
  1. 查到了第二行数据,得到了 '##security##1',不需插入新记录,只是 COUNT += 1
wumingcount
##security##12
  1. 查到了第三行数据,得到了 '##security##0',需要插入,触发了BUG,又调用了一次RAND(),得到了 '##security##1',它想把 '##security##1'这条“新”记录插进去,然而表中实际上已经有了这个group_key,所以这时就发生了Duplicate entry '##security##1' for key '<group_key>'
  2. 如开头所说,选用哪张表不是关键,只要它存在,并且其中的行数要大于某一个特定的值,比如使用RAND(0)时至少得有三行,其它类推。

用途

能搜到这篇博客的肯定是知道怎么利用这个BUG了
不过还是贴几张嘻嘻

在这里插入图片描述在这里插入图片描述

一些问题

在这里插入图片描述最核心的payload

SELECT username FROM users WHERE id=1

返回值是Dumb
会报错,没问题
但是换一个核心payload却不报错了
返回值同样也是Dumb
在这里插入图片描述
观察下面的两个payload可以猜想出应该是GROUP_CONCAT产生了影响
在这里插入图片描述
但是也不太确定
因为爆表名时是可以使用的
在这里插入图片描述
然后分开SELECT也是可以的
在这里插入图片描述所以有些奇怪
先留坑吧
我太菜了

无名J0kзr
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入之基于布尔的盲注详解
09-10
首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔的盲注。下面来一起看看吧。
mysql 查询出错 Duplicate entry ‘xxxx‘ for key ‘<group_key>‘
Bandry的专栏
08-07 345
两个参数 tmp_table_size、max_heap_table_size,默认是16M。可以临时加大设置,如果是临时查询,查询完成后再改回去。下面的语句将空间改为 100M。表数据量大,临时表空间不够。
MySQL 报错 Duplicate entry xxx for key group_key
说文科技,做有态度的研究。
01-24 5668
MySQLDuplicate entry xxx for key '&lt;group_key&gt;' 错误 1.报错 mysql&gt; select shop_id,bd_code,gmt_create from e_sos_shop_bd_log group by shop_id,bd_code,gmt_create having count(1) &gt; 1; ERROR 1062...
mysql 查询报错 Duplicate entry 解决方案
wangwenzhe的博客
01-22 7218
生产一条sql查询的时候报错,测试/预发都没问题,怀疑是mysql配置导致的,因为生产数据量比预发/测试要多 sql: select XXX , count(*) as count from table_xxx group by XXX 报错: Duplicate entry 'XXXXXXX' for key '<group_key>' 解决...
mysql报错注入_经典的MySQL Duplicate entry报错注入
weixin_39669769的博客
12-23 289
SQL注射取数据的方式有多种:利用union select查询直接在页面上返回数据,这种最为常见,一个前提是攻击者能够构造闭合的查询。Oracle中利用监听UTL_HTTP.request发起的HTTP请求,把QuerySet反弹回攻击者的主机。当然,HTTP服务器对URL的长度有一定限制,因此每次可返回的数据量不可过多。基于错误消息取数据,前提是页面能够响应详细的错误描述。它的一个优点是,我们可...
第16天:WEB漏洞-SQL注入之查询方式及报错盲注1
08-03
Access 偏移注入:解决列名获取不到的情况查看登陆框源代码的表单值或观察 URL 特征等也可以针对表或列获取不到的情况select 查询数据在网站应用中进行
超级SQL注入工具,支持布尔盲注报错盲注,union注入等
最新发布
03-27
超级SQL注入工具目前支持Bool盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
Web应用安全:Sqlserver盲注.pptx
06-19
3)基于报错SQL 盲注。 2、基于布尔的Sqlserver盲注 原理:构造逻辑判断。 方式: 1)非正则匹配注入。 2)like注入。 Sqlserver盲注 2、基于布尔的Sqlserver盲注 非正则匹配注入 可以利用逻辑函数进行判断,常用...
防止xss和sql注入:JS特殊字符过滤正则
10-27
防止xss和sql注入:JS特殊字符过滤正则,需要的朋友可以参考一下
Duplicate entry '0' for key 'PRIMARY'的一种可能的解决办法
热门推荐
码农阿宇
12-19 15万+
MySQL设计好数据库往往数据库中插入数据的时候, 因为主键ID默认是不赋值的,只给其他项目赋值了,相关的SQL代码是这样的 StringBuilder strSql = new StringBuilder(); strSql.Append("insert into tb_enterprise_product("); strSql.App
执行SQL语句的时候唯一约束字段异常Duplicate entry '33382-1-0' for key xxx
tomcat_zhu的博客
09-30 10万+
前言:做项目的时候,执行SQL语句报了Duplicate entry '33382-1-0' for key xxx异常,后来发现是唯一约束导致,于是乎一通谷歌百度,后来解决了,记录一下。 正文: 代码片段是这样的: session.createSQLQuery("insert ignore student_task_trace (student_id,task_plan_id,task_...
ERROR 1062 (23000) at line 1: Duplicate entry ‘XXX‘ for key ‘XXX‘
Dablelv 的博客专栏。
07-17 8323
如果调高该值,MySQL同时将增加heap表的大小,可达到提高联接查询速度的效果,建议尽量优化查询,要确保查询过程中生成的临时表在内存中,避免临时表过大导致生成基于硬盘的MyISAM表。如果内存临时表超出了限制,MySQL 就会自动地把它转化为基于磁盘的 MyISAM 表,存储在指定的 tmpdir 目录下。定义了用户可以创建的内存表(memory table)的大小,可用来计算内存表的最大行数值。可以查看大小,默认是16MB,可调到64-256MB最佳,线程独占,太大可能导致内存不够,I/O堵塞。
数据库出错提示Duplicate entry * for key *的解决方法
weixin_33882443的博客
12-28 2万+
错误编号:1062 错误提示: 查询语句错误[1062] ERR: Duplicate entry '16777215' for key 'PRIMARY' SQL: INSERT INTO forum_attachment SET `tid`='0',`pid`='0',`uid`='1',`tableid`='127' PHP: misc.php:0058 -&gt; sourc...
Duplicate entry 'XXX' for key 'XXX'
zhou3ming8的博客
11-27 6903
Duplicate entry 'XXX' for key 'XXX' 这标识 key 不能有重复值,需要检查一下表中是否有重复数据
经典的MySQL Duplicate entry报错注入
代码析构师的专栏
02-09 4209
SQL注射取数据的方式有多种: 利用union select查询直接在页面上返回数据,这种最为常见,一个前提是攻击者能够构造闭合的查询。  Oracle中利用监听UTL_HTTP.request发起的HTTP请求,把QuerySet反弹回攻击者的主机。当然,HTTP服务器对URL的长度有一定限制,因此每次可返回的数据量不可过多。  基于错误消息取数据,前提是页面能够响应详细的错误描述
Hibernate: Duplicate entry for key错误排查
ls0111的博客
05-09 2118
背景: 公司业务需求: 1.合并两个用户,包括资产账户信息。 2.其中用户的积分账户有身份证号码(idNum)与真实姓名(realName)信息,且为联合唯一索引。 3.为了描述方便,假设两个用户A与B,需要把用户B的账户信息合并到用户A账户。且用户B账户idNum与realName字段不为空(realName:张三,idNum:123),用户A的账户idNum与realName为空。 字...
sql注入updatexml报错注入
06-08
SQL注入是一种常见的安全漏洞,其中updatexml是一种常用的注入方式之一。如果你在使用updatexml时遇到了报错,可能是由于以下原因: 1. SQL语句中的updatexml函数使用不正确,参数数量或类不匹配,导致SQL语句执行失败。 2. 数据库对updatexml函数的支持不完整,某些版本的数据库可能不支持某些参数或功能,导致SQL语句执行失败。 3. 输入的注入payload不正确,可能造成语法错误或类不匹配等问题,导致SQL语句执行失败。 为了解决这个问题,你可以尝试以下方法: 1. 检查SQL语句中updatexml函数的使用是否正确,确保参数数量和类正确。 2. 检查数据库版本和配置,确保数据库对updatexml函数的支持完整。 3. 检查输入的注入payload是否正确,可以使用工具或手动构造payload进行测试,找出问题所在。 此外,为了避免SQL注入等安全漏洞,建议在编写代码时使用参数化查询,或对输入进行严格的过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值