freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

MySQL floor()报错原理分析
2020-07-10 10:19:55

简述

floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,有礼了~ 。

环境

介绍下我的测试环境:

MySQL版本:5.5.53

使用的数据库:security.users,这数据库是sqli-labs的,大家都很熟悉。

搞起

咱就直接抛出常用的报错语句了,语句的利用格式相对固定,咱们一点一点的拆解,一点一点说。

select count(*) from users group by concat(database(),floor(rand(0)*2));
select count(*),concat(database(),floor(rand(0)*2))x from users group by x;

它们表达的意思是一样的,第二条语句中的as x其实就是concat(database(),floor(rand(0)*2))的代指(别名),这两个SQL语句表达的意思并没什么区别。来,让我们瞅瞅它报了什么错:ERROR 1062 (23000): Duplicate entry 'security1' for key 'group_key'

它说'group_key'的主键'security1'重复了,嗯?‘security1’从哪里来的?哪个表的主键重复了?

虽然刚开始,咱们还不知道原理,但是可以看到报错提示语句中的数据库函数已经被执行了。就像我之前说的那样,我本身有用到sqli-labs的数据库,所以database()执行后是’security’很正常吧。

floor(rand(0)*2)

security1中的1便是来自floor(rand(0)*2),它说security1重复,那说明之前的表中已经有这个主键了。因为database()固定,我们继续来看下产生1的这个floor(rand(0)*2)。rand()同样是一个数学函数,它返回一个随机浮点值[0,1]。

若指定一个整数参数N,则它被作用种子值(也被叫为随机因子),(rand()会根据这个种子值随机生成)用来产生重复序列,也就是rand(0)的值重复计算是固定的。

而它后面的*2,则是选定获取数据的范围[0,2],其实就是乘以2。

floor()同样是一个数学函数,返回不大于x的最大整数值,比如floor(3.3)返回3,floor(-3.3)返回-4。 

现在让我们看下计算users表数据的次数,floor(rand(0)*2)的值。

可以看到rand(0)的值确实是固定的。同时1也出现了。 concat()是字符串拼接函数,拼接多个字符串,如果字符串中含有NULL,则返回结果为NULL。这样来看,concat后的结果为’security0’或’security1’,’security1’出现了。

分析到这,我们后半部分没什么好说的了,rand()还有一个非常重要的特性我们之后跟group by一起说。

group by 与 count(*)

咱们再来说这个count(*),这是一个聚合函数,返回值的数目,它与count()的区别是它不排除NULL。

咱们通过select count(*) from users group by username;这个查询语句来了解下group by的工作过程。

19.png

group by在执行时,会依次取出查询表中的记录并创建一个临时表,group by的对象便是该临时表的主键。如果临时表中已经存在该主键,则将count(*)值加1,如果不存在,则将该主键插入到临时表中,注意是插入!查询前创建的空临时表。

取第一条记录,username是Dumb,发现临时表中没有该主键,则将Dumb插入到主键,count(*)值计1,取第二条记录。

同样,取第二条记录,username为Angelina,同样没有该主键,则将Angelina插入到主键,count(*)值计1。

当取到原表中第8条admin时,同样将admin作为主键插入到临时表中,并将count(*)计1.当取第15条数据时,发现临时表中已经有admin作为主键了,则直接count(*)加1。最终结果:

24.png

虽然在命令行中的显示结果跟咱的不太一样,但是思路是正确的(它貌似对结果按照字母进行了排序,又或者在插入临时表前就先进行了排序)。

写到这里,那按照上面的逻辑,报错语句应该是select count(*) from users group by ‘security0’或’security1’;啊?然后group by时创建临时表,第一个是security0,发现没有这个主键,此时将security0插入主键的位置,计1,然后取from的表中下一条记录。

取下一条记录,group by 后是‘security1‘,临时表中不存在security1的主键,则将security1插入主键位置,计1,然后取下一条记录。

之后group by 只有security0或security1,那应该只是计数上的变化了啊。最终应该是:

那为什么不是这个结果,反而报了主键重复的错误了呢?

因为还有一个最重要的特性,就是group by与rand()使用时,如果临时表中没有该主键,则在插入前rand()会再计算一次(也就是两次,但有些博客写的是多次,这个多次到底是几次我并不知道,也没有找到相关材料作为支持,但是以两次来理解下面的实验都能说的通),就是这个特性导致了主键重复并报错。我们来看:

当group by 取第一条from 的表记录时,此时group by的是’security0’,发现临时表中并没有’security0‘的主键,注意,这个时候rand(0)*2会再计算一次,经floor()后,率先插入临时表的主键不是security0,而是security1,并计数1。

然后取第二条记录,第二条记录group by 的key中的01仍由floor(rand(0)*2)继续计算获得,也就是security1。此时临时表中已经有security1的主键了,所以count(*)直接加1就可以。

继续从from的表中取第三条记录,再次计算floor(rand(0)*2),结果为0,与database()拼接为security0,临时表的主键中并不存在,在插入前,floor(rand(0)*2)又计算一次,拼接后与secruity1,但是是直接插入,即使临时表中已经有了主键security1也硬要插入,从而导致主键重复报错,也就是:ERROR 1062 (23000): Duplicate entry 'security1' for key 'group_key'。 

写到这里报错的原理已经说完了,各位观众老爷感觉呼应上了吗?

优化

咱们继续看,咱们共从from的表中取了三条记录(这也是floor(rand(0)*2)最少需要表中有三条记录的原因),因为floor(rand(0)*2)的值为011011...,但其实第三次计算的1可以不要的(变为0101)。

如果某个floor(rand(x)*2)满足0101或1010,那么from 的表中两条数据就是可以报错的。我经过多次实验,发现floor(rand(14)*2)的值为101000...,那么咱们创建一个有两条数据的表试一下康康。

创建一个test表,里面只有两条数据。

分别用rand(0)*2和rand(14)*2做实验。

也就是说,在测试过程中,其实使用rand(14)*2更好一丢丢。如果from的表中只有一条数据的话floor()报错注入就没法用了,毕竟是重复,只插入一条数据怎么主键重复,对吧。

总结

最后一句话总结下:floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。

参考链接:

https://www.freebuf.com/column/235496.html

http://8rr.co/8bjS

本文作者:, 转载请注明来自FreeBuf.COM

# 渗透测试
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑