报错型盲注原理分析

最新推荐文章于 2024-08-27 13:56:09 发布
原创 最新推荐文章于 2024-08-27 13:56:09 发布 · 744 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

 前言

众所周知,盲注并不会返回错误信息,使得sql注入的难度提高。而报错型注入则是利用了MySQL的第8652号bug :Bug #8652 group by part of rand() returns duplicate key error来进行的盲注,使得MySQL由于函数的特性返回错误信息,进而我们可以显示我们想要的信息,从而达到注入的效果;当然其他类型的数据库也存在相应的问题,在此我们不提。
原理剖析

Bug 8652的主要内容就是在使用group by 对一些rand()函数进行操作时会返回duplicate key 错误,而这个错误将会披露关键信息,如

"Duplicate entry '####' for key 1"

这里的####正是用户输入的希望查询的内容

而该bug产生的主要原因就是:在rand()和group by同时使用到的时候,可能会产生超出预期的结果,因为会多次对同一列进行查询

对这个bug的利用

显然,我们需要巧妙地构造出能够触发上面这种类型报错的语法,或者说是公式来有意地触发bug。

原理

通用的公式:
?id=1' union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a

在进行查询时,sql会根据需要建立临时表进行数据的存储;

关于为什么会报错,官方介绍中说到,对同一列进行多次查询,即rand多次执行,那么我们可以猜测,当查询第一条语句时,结果为0,可以知道在临时表中键值为0不存在,因此我们会进行插入结果的操作,在插入之前猜测rand再次执行,因此插入了键值为1的结果

下一个数:此时已经查询到了第三个数“1”,因为临时表已存在该数,因此count值+1

下一个数:此时查询到0,又因为不存在该值,因此我们又会进行插入结果的操作,继续我们的猜测,在插入前进行rand的再次执行,因此想要插入值为1的新列,而值为1的列已存在,因此报错(count()函数的特性)!

结论

对于一个整数x,对于floor(rand(x)*2)产生的序列,如果在未出现“0011”或“1100”序列前出现“0010“或”1101”,那么该floor(rand(x)*2)产生的序列可用于报错型sql盲注

参考

https://blog.youkuaiyun.com/qq_35544379/article/details/77453019

《网络安全自学教程》- SQL入之布尔原理+步骤+实战操作
wangyuxiang946的博客
05-13 1万+
这篇文章为大家解析布尔实现原理,结合实战案例讲解布尔使用步骤
《网络安全自学教程》- SQL入之时间原理+步骤+实战操作
wangyuxiang946的博客
05-21 1万+
这篇文章为大家解析时间的实现原理,结合实战案例讲解时间的操作步骤以及时间误差的判断
SQL入之报错型详解
DM766924的博客
09-15 1904
报错显示的原理: 前提:MYSQL报错信息必须能够在页面回显。原理:通过MYSQL一些函数的限制条件让其报错,产生超出预期的结果,且报错信息中包含重要信息。要求:需要能够知道MYSQL中哪些函数有限制条件,利用限制条件进行报错,需要了解函数原理才知道熟悉运用。分类: 基于group by报错入 基于xpath函数报错入(5.1.1及以上,extractvalue和updatexml) 基于double数值类型超出范围报错入(5.5.5及以上) 基于bignt溢出报错入 基于数据重复性报错入 报
SQL报错
weixin_30594001的博客
04-14 391
嗯哼,这几天篮球比赛,天天训练,学习都耽搁了,DDCTF做了一会心态就爆炸了,蓝瘦,明天再打一场,希望能赢呢,打完就疯狂继续学习了。今天抽空又做了一些基本的SQL入题目,墨者学院的一道报错入的题目,很基础。并且没过滤啥,所以直接肝就完事了。我一开始用了SQLMAP就直接跑了,然后还是锻炼一下手把。 首先,还是那个页面(最近又用起了火狐,毕竟比Chrome 占用资源少,卡顿少) 然后加...
SQL报错型教程(原理全剖析)
Pz_mstr's Blog
08-21 1万+
深入分析基于报错的sql原理,解密“公式”的奥秘
SQL原理-报错
你们de4月天的博客
09-14 1091
SQL入-报错(updatexml()函数与extractvalue()函数)
墨者 - SQL入漏洞测试(报错)
吃肉唐僧的博客
07-07 2978
根据题意,用updatexml构造报错回显' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库 ' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表' and updatexml(1,concat(0x7e,(select table_n...
报错入的原理分析
d59hao的博客
07-28 522
mysql有些几何函数,例如geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring(),这些函数对参数要求是形如(1 2,3 3,2 2 1)这样几何数据,如果不满足要求,则会报错。根据官方文档,name_const()函数要求参数必须是常量,所以我们当连续使用两个name_const()函数,并把其中参数作为要查询的函数,则会造成列名重复错误,并将查询结果返回在错误信息中。
SQL 入之报错入、延时入、布尔
2301_77160226的博客
08-27 1665
在 SQL 入攻击中,报错入、延时入和布尔是常见的攻击手段。这些攻击方式利用了数据库系统在处理用户输入时的漏洞,从而获取敏感信息或者执行恶意操作。本文将详细介绍这三种 SQL 入攻击方式的原理和实现方法。
超硬核,SQL入之时间原理+步骤+实战思路(1)
2401_84296945的博客
04-30 1305
时间是指基于时间的,也叫延时入,根据页面的响应时间来判断是否存在入。
浅谈原理
qq_23066945的博客
10-27 941
浅谈原理步骤 之前找到一个带有入的美国网站,发现是,简单讲讲原理。 步骤 1.xxx.com/index.php?ID=79这个位置单引号报错,并且直接给出错误信息: 知道了他的表是catalog,并且是单引号闭合。 SQL: SELECT *FROM catalog WHERE ID = '79'' 2.尝试闭合,输入‘ --+ 后,页面返回正常。 3.开始猜测字段。 输入...
SQL入4之报错型
weixin_56218159的博客
05-27 442
SQL入之报错型详解 报错显示的原理 前提:MYSQL报错信息必须能够在页面回显 原理:通过MYSQL一些函数的限制条件让其报错,产生超出预期的结果,且报错信息中包含重要信息 要求:需要能够知道MYSQL中哪些函数有限制条件,利用限制条件进行报错,需要了解函数原理才知道熟悉运用 分类 》基于group by报错入 》基于xpath函数报错入(5.1.1及以上,extractvalue和updatexml) 》基于double数值类型超出范围报错入(5.5.5及以上) 》基于bignt溢出
原理基础
qq_58000413的博客
09-15 584
and substr((select table_name from information_schema.tables where table_schema=database()),1,1) >100 判断出表名。and if(ascii((substr(database(),1,1)))) 判断出数据库第一个字母的ascii值。and if(length(database())>12,0,sleep(4)) 判断出数据库长度。若需要闭合就手动帮闭合下。
SQL入之报错(墨者学院)
waxcj的博客
05-02 3246
首先我们先来了解一下报错入的基本概念 1:报错入定义 报错入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。 2:报错入前提 页面上没有回显点,但是必须有SQL语句执行错误的信息。 3:报错入优缺点 优点:不需要显示位,如果有显示位建议使用union联合查询。 缺点:需要有SQL语句的报错信息。 4:构造报错入的基本步骤 构造目标查询语句 选择报错入函数 构造报错入语句 拼接报错入语句 5:常见的报错入函数 updatexml(
SQL报错型
weixin_30274627的博客
07-29 204
原理 报错型入利用了MySQL的第8652号bug :Bug#8652 group by part of rand() returns duplicate key error来进行的,使得MySQL由于函数的特性返回错误信息,进而我们可以显示我们想要的信息,从而达到入的效果;当然其他类型的数据库也存在相应的问题。 利用 Bug 8652的主要内容就是在使用group by...
SQL(原理概述、分类)
热门推荐
小赵同学的博客
12-29 2万+
原理 的分类 常用函数 的利用方法 一、SQL概述 1.如果数据库运行返回结果时只反馈对错不会返回数据库中的信息 此时可以采用逻辑判断是否正确的来获取信息。 2.是不能通过直接显示的途径来获取数据库数据的方法。 可以分为三类: 布尔 时间 报错型 1、布尔 查询是不需要返回结果的,仅判断语句是否正常执行即可,所以其返回可以看到一个布尔值,正常显示为true,报错或者是其他不正常显示为False 查询语句: SELECT userid FROM ne
Sqli-labs 复习 Less05-06 报错型sql - GET
kevinhanser
08-10 662
之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象 Sqli-labs 博客目录 报错型 SQL # 函数讲解 用到的函数 rand() 产生一个不固定的0~1的随机数列,加了参数之后会变成固定的伪随机数列 rand(0),rand(1),当使用一个整数参数时,rand使用该参数作为种子生成一个固定的伪随机数列 floor 向下取...
SQL报错,延时,布尔等原理分析
FreyZzz的博客
10-15 1788
SQL 就是在入过程中,获取的数据不能回显至前端页面。此时,我们需要利用一些方式进行判断或者尝试,这个过程称之为分为以下三类 基于布尔的SQL—逻辑判断 regexp, like, ascii, left, for, mid 基于时间的SQL—延时判断 floor, updataxml, extractvalue 参考: like 'ro%' #判断ro或or...是否成立 if(条件,5,0)...
SQLi LABS Less 14 报错入+布尔
wangyuxiang946的博客
06-21 1万+
SQLi 第十四关,SQLi-LABS Less-14,SQLi-LABS Less 14,SQLiLABS Less14,SQLi Less 14
SQLI-LABS报错
最新发布
04-02
### SQLI-LABS 报错入解决方案教程 #### 背景介绍 SQL 入是一种常见的安全漏洞,攻击者通过输入恶意的 SQL 查询语句来获取敏感信息或破坏数据库。在 `sqli-labs` 靶场中,报错入是一个重要的学习模块。它利用了某些函数或语法特性,在执行过程中触发错误消息,并从中提取有用的信息。 以下是针对 `sqli-labs` 报错入的具体方法和技巧: --- #### 使用特定函数触发错误 MySQL 提供了一些内置函数,这些函数可以在查询失败时返回详细的错误信息。常用的有以下几个: - **`extractvalue()`**: 可用于从 XML 数据中提取值。如果指定的节点不存在,则会抛出异常。 - **`updatexml()`**: 类似于 `extractvalue()`,但它主要用于更新 XML 文档中的值。 - **`floor()` 和随机数组合**: 利用浮点运算引发除零错误或其他计算错误。 例如,可以通过以下方式构造查询字符串[^2]: ```sql ?id=1' || extractvalue(1,concat(0x3a,(select database()))) --+ ``` 上述语句的作用是从目标数据库中提取当前使用的数据库名称。 --- #### 结合联合查询与条件判断 为了进一步验证是否存在入点以及如何绕过过滤器,可以尝试使用布尔的方式逐步缩小范围。比如,假设需要猜测第 i 位字符是否为某个具体字母 a-z 或 A-Z,可采用如下形式[^3]: ```sql ?id=1 AND ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema='security'),i,1))>ascii_value -- ``` 这里的关键在于调整变量 `i` 来定位不同的位置,并比较其对应的 ASCII 值大小关系。 --- #### 自动化工具辅助分析 手动测试虽然有助于理解原理,但在实际场景下效率较低。因此推荐借助一些自动化脚本或者开源项目完成批量探测工作。Burp Suite Pro 版本自带 Intruder 功能非常适合此类任务;另外还有专门设计用来处理 Web 应用程序安全性评估工作的 OWASP ZAP 工具可供选择。 对于初学者来说,也可以编写简单的 Python 脚本来实现基本功能。下面给出一段示范代码片段作为参考[^4]: ```python import requests url = "http://localhost/sqli-labs/Less-5/?id=" payload_template = "' OR (SELECT ASCII(SUBSTR(({query}),{pos},1)))={char}-- " characters = range(32, 127) def get_char(pos): for char in characters: payload = url + payload_template.format(query="database()", pos=pos, char=char) response = requests.get(payload).text if "You are in" in response: return chr(char), True return None, False result = "" for position in range(1, 9): # Assuming DB name length is known to be 8 chars. next_character, success = get_char(position) if not success: break result += str(next_character) print(f"The extracted db name is {result}") ``` 此脚本实现了基于时间延迟反馈机制下的单字节恢复过程演示效果。 --- #### 意事项 尽管以上技术能够有效帮助学员掌握核心概念,但仍需意合法合规前提下方能实践演练。切勿非法入侵他人系统! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

StriveBen

写字不易,给点动力吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值