报错注入与延时注入

作者: iamblackcat | 来源:发表于2019-06-22 20:57 被阅读0次

报错注入与延时注入
union联合查询注入&&报错注入
Mysql注入-报错注入
sql注入_报错注入
sql注入-报错注入
SQL手动注入
SQLmap延时注入
20200227 SQL注入及杂事
报错注入
报错注入

摘要：本篇填坑，补上关于报错注入与延时注入

报错注入

需要了解的“函数”：

rand()：产生0到1之间的随机数
floor()：向下取整，即舍掉小数部分
concat()：拼接数据，将括号中的字符（串）进行拼接
group by子句：与SELECT语句结合一起使用，将相同的数据分成一组
count()：查询记录数（对行数求和）

用法演示

1.select的作用

image

2.concat的作用（0x3a是十六进制的冒号）

image

3.表中有多少条记录，查询结果将返回多少条记录

image

4.count()的作用

image

5.配置一个别名

image

6.随机数的使用（rand()乘上2，再经向下取整，则会随机产生0和1两个数）

image

6.分组AND分组+统计的作用

image

可以看到出现报错了，但是同样的语句第一次报错，第二次没有报错，已经初见端倪了

报错原理

在MySQL中，当遇到select count(*) from tables group by x;语句的时候会建立一个虚拟表

image （key是主键不可重复），开始查询的时候，读取数据库数据，先看虚拟表中是否存在，若不存在，插入数据为新纪录，存在则count值+1.

当我们读取第一条数据的时候（随机数，rand()*2，为0或1），假设为0，虚拟表中并不存在这个主键，这时将向虚拟表中插入该条数据，而此时又将产生随机数，若为1，则插入1，为0，则插入0。

令我们插入的值为1，读取第二条数据，假如为1，虚拟表中存在1，则1的count值+1。若读取的第二条数据位0，虚拟表中不存在，则将向虚拟表中插入数据，这时随机数再次发挥作用，若插入的值为1，与第一次插入的值冲突（主键是不能重复的），将会返回duplicate key错误，这个错误会披露一些关键信息；若插入的为0，则顺利插入。

令我们插入的数为0，也就到了读取第三条数据的时候，无论是0或是1，虚拟表中都存在，将会是count+1的操作。

所以我们可以看到，报错的几率是有的，有没有可能让它必报错的呢？那就需要让我们的随机数不再“随机”，而是产生特定的序列，通过上面的分析我们可以思考一下什么样的序列可以“必报错”。

不错正是回文的序列，下面给出的是对rand()函数提供不同的种子，产生的随机数的序列。通过观察，不难发现0,4,8,11这几个种子产生的前四位是回文的，也就意味着当以这几个整型数据传入rand()函数作为种子时将会必报错。

rand(0)*2:0110110011

rand(1)*2:0100011000

rand(2)*2:1011001001

rand(3)*2:1001100110

rand(4)*2:0110111111

rand(5)*2:0100011100

rand(6)*2:1011100000

rand(7)*2:1001100001

rand(8)*2:0110011010

rand(9)*2:0100110111

rand(10)*2:1011100100

rand(11):1001001101

上面，不传入种子时的随机数随机报错；下面，传入种子为4的伪随机数必报错

image

那么可以总结我们的公式了。

公式

select 1 from (select count(*),concat(floor(rand(0)*2),(select (select(our_sql_sentence)) from information_schema.tables limit 0,1))x from information_schema.tables group by x)a