CTF-报错注入

1. mysql 之count(*)原理

select count(*) from table group by floor(rand()*2);

sql表:table

id value
0 1
0 1
1 1
2 2
2 2
3 2

查询前mysql会建议一个虚拟表,查询表中第一行数据时,会insert floor(rand()*2),假如是0,查询虚拟表,发现不存在,则会再次执行floor(rand()*2),结果为1,插入虚表,这是第一条记录。

虚表(第1次查询)

id value
1 1

继续第二次查询,再次计算floor(rand()*2),发现为1,此时虚表中已经存在1,所以不会再次执行floor(rand()*2)

虚表(第2次查询)

id value
1 2

继续第二次查询,计算floor(rand()*2),发现为0,此时虚表中已经不存在0,所以会再次执行floor(rand()*2),

  • 假如计算为0,则可以正常插入

虚表(第3次查询)

id value
1 2
0 1
  • 假如为1,则会报错,因为重复了。
error info: Duplicate entry '1' for key ''

floor(rand()*2)是不可测的。
CTF-报错注入_第1张图片

2. 注入

公式:

select count(*),floor(rand()*2)x from information_schema.tables group by x;
# floor(rand()*2)x === floor(rand()*2) as x

报错函数

updatexml函数:
or udatexml(1concat(0x7e,(version())),0)
exp()
<>
regexp
like

实际使用

username updatexml
password (params)

你可能感兴趣的:(Cyber,Security)