美文网首页WEB渗透与网络安全Web安全
报错注入与延时注入

报错注入与延时注入

作者: iamblackcat | 来源:发表于2019-06-22 20:57 被阅读0次

    摘要:本篇填坑,补上关于报错注入与延时注入

    报错注入

    需要了解的“函数”:

    • rand():产生0到1之间的随机数
    • floor():向下取整,即舍掉小数部分
    • concat():拼接数据,将括号中的字符(串)进行拼接
    • group by子句:与SELECT语句结合一起使用,将相同的数据分成一组
    • count():查询记录数(对行数求和)

    用法演示

    1.select的作用

    image

    2.concat的作用(0x3a是十六进制的冒号)

    image

    3.表中有多少条记录,查询结果将返回多少条记录

    image

    4.count()的作用

    image

    5.配置一个别名

    image

    6.随机数的使用(rand()乘上2,再经向下取整,则会随机产生0和1两个数)

    image

    6.分组AND分组+统计的作用

    image

    可以看到出现报错了,但是同样的语句第一次报错,第二次没有报错,已经初见端倪了

    报错原理

    在MySQL中,当遇到select count(*) from tables group by x;语句的时候会建立一个虚拟表

    image (key是主键不可重复),开始查询的时候,读取数据库数据,先看虚拟表中是否存在,若不存在,插入数据为新纪录,存在则count值+1.

    当我们读取第一条数据的时候(随机数,rand()*2,为0或1),假设为0,虚拟表中并不存在这个主键,这时将向虚拟表中插入该条数据,而此时又将产生随机数,若为1,则插入1,为0,则插入0。

    令我们插入的值为1,读取第二条数据,假如为1,虚拟表中存在1,则1的count值+1。若读取的第二条数据位0,虚拟表中不存在,则将向虚拟表中插入数据,这时随机数再次发挥作用,若插入的值为1,与第一次插入的值冲突(主键是不能重复的),将会返回duplicate key错误,这个错误会披露一些关键信息;若插入的为0,则顺利插入。

    令我们插入的数为0,也就到了读取第三条数据的时候,无论是0或是1,虚拟表中都存在,将会是count+1的操作。

    所以我们可以看到,报错的几率是有的,有没有可能让它必报错的呢?那就需要让我们的随机数不再“随机”,而是产生特定的序列,通过上面的分析我们可以思考一下什么样的序列可以“必报错”。

    不错正是回文的序列,下面给出的是对rand()函数提供不同的种子,产生的随机数的序列。通过观察,不难发现0,4,8,11这几个种子产生的前四位是回文的,也就意味着当以这几个整型数据传入rand()函数作为种子时将会必报错。

    rand(0)*2:0110110011

rand(1)*2:0100011000

rand(2)*2:1011001001

rand(3)*2:1001100110

rand(4)*2:0110111111

rand(5)*2:0100011100

rand(6)*2:1011100000

rand(7)*2:1001100001

rand(8)*2:0110011010

rand(9)*2:0100110111

rand(10)*2:1011100100

rand(11):1001001101

    上面,不传入种子时的随机数随机报错;下面,传入种子为4的伪随机数必报错


    image

    那么可以总结我们的公式了。

    公式

    select 1 from (select count(*),concat(floor(rand(0)*2),(select (select(our_sql_sentence)) from information_schema.tables limit 0,1))x from information_schema.tables group by x)a

    image

    参考文章:报错型sql注入原理分析
    基于报错的SQL注入
    SQL报错型盲注教程(原理全剖析)

    延时注入

    MySQL中有一个函数:sleep(value),可以让服务器沉睡value秒;例如:select * from users where id=1 and sleep(3);那么服务器将沉睡3秒后再执行select查询。

    结合if(expr1,expr2,expr3)其中,expr1是判断条件,条件为true则执行expr2,条件为false则执行expr3。

    举一个简单的例子:?id=1' and if(1=1,sleep(5),3)--+其中1=1为真,则执行sleep函数,我们能明显感觉到服务器的相应时间;同理,1=1可以换成我们在bool 盲注时类似的语句,通过观察服务器相应的时间来判断条件是否为真。

    另一个函数,BENCHMARK(count, expr),函数重复count次执行expr;这个函数还有一个作用是用来返回服务器执行的时间,常用来分析性能。

    我们可以利用它第一个重复执行的功能代替sleep(用于被过滤的时候),常将count设置为10000000,结合if,与sleep类似。

    相关文章

      网友评论

        本文标题:报错注入与延时注入

        本文链接:https://www.haomeiwen.com/subject/kkzvqctx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        WEB渗透与网络安全

        Web安全

        关于我们|服务条款|联系我们|报错注入与延时注入|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!