0x01 简述
floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章。
0x02 环境
介绍下我的测试环境:
MySQL版本:5.5.53
使用的数据库:security.users,这数据库是sqli-labs的,大家都很熟悉。
0x03 搞起
咱就直接抛出常用的报错语句了,语句的利用格式相对固定,咱们一点一点的拆解,一点一点说。
select count() from users group by concat(database(),floor(rand(0)2));select count(),concat(database(),floor(rand(0)2)) as x from users group by x;
它们表达的意思是一样的,第一个中的asx其实就是concat(database(),floor(rand(0)*2))的代指(别名),这两个SQL语句表达的意思并没什么区别。
来,让我们瞅瞅它报了什么错:
ERROR 1062 (23000): Duplicate entry ‘security1’ for key ‘group_key’它说’group_key’的主键’security1’重复了,嗯?’security1’从哪里来的?哪个表的主键重复了?
虽然刚开始,咱们还不知道原理,但是可以看到报错提示语句中的数据库函数已经被执行了。
就像我之前说的那样,我本身有用到sqli-labs的数据库,所以database()执行后是’security’很正常吧。
0x04 floor(rand(0)*2)
‘security1’中的1便是来自floor(rand(0)2),它说’security1’重复,那说明之前的表中已经有这个主键了。因为database()固定,我们继续来看下产生’1’的这个floor(rand(0)2)
rand()同样是一个数学函数,它返回一个随机浮点值[0,1]
若指定一个整数参数N,则它被作用种子值(也被叫为随机因子),(rand()会根据这个种子值随机生成)用来产生重复序列,也就是rand(0)的值重复计算是固定的。
而它后面的*2,则是选定获取数据的范围[0,2],其实就是乘以2。
floor()同样是一个数学函数,返回不大于x的最大整数值,比如floor(3.3)返回3,floor(-3.3)返回-4。
现在让我们看下计算users表数据的次数,floor(rand(0)*2)的值。
可以看到rand(0)的值确实是固定的。同时1也出现了。
concat()是字符串拼接函数,拼接多个字符串,如果字符串中含有NULL,则返回结果为NULL。这样来看,concat后的结果为’security0’或’security1’,’security1’出现了。
分析到这,我们后半部分没什么好说的了,rand()还有一个非常重要的特性我们之后跟group by一起说。
0x05 group by 与 count(*)
咱们再来说这个count(*),这是一个聚合函数,返回值的数目,它与count()的区别是它不排除NULL。
咱们通过select count(*) from users group by username;这个查询语句来了解下group by的工作过程。
group by在执行时,会依次取出查询表中的记录并创建一个临时表,group by的对象便是该临时表的主键。如果临时表中已经存在该主键,则将值加1,如果不存在,则将该主键插入到临时表中,注意是插入!
查询前创建的空临时表。
取第一条记录,username是Dumb,发现临时表中没有该主键,则将Dumb插入到主键,count(*)值计1,取第二条记录。
同样,取第二条记录,username为Angelina,同样没有该主键,则将Angelina插入到主键,count(*)值计1。
当取到原表中第8条admin时,同样将admin作为主键插入到临时表中,并将count()计1.当取第15条数据时,发现临时表中已经有admin作为主键了,则直接count()加1。最终结果:
虽然在命令行中的显示结果跟咱的不太一样,但是思路是正确的(它貌似对结果按照字母进行了排序,又或者在插入临时表前就先进行了排序)。
写到这里,那按照上面的逻辑,报错语句应该是 select count(*) from users group by ‘security0’或’security1’;啊?!然后group by时创建临时表,第一个是security0,发现没有这个主键,此时将security0插入主键的位置,计1,然后取from表中的下一条记录。
下一条是group by ‘security1’,临时表中不存在security1的主键,则将security1插入主键位置,计1,然后取下一条记录。
之后group by 只有security0或security1,那应该只是计数上的变化了啊。最终应该是:
那为什么不是这个结果,反而报了主键重复的错误了呢?
因为还有一个最重要的特性,就是group by与rand()使用时,如果临时表中没有该主键,则在插入前rand()会再计算一次(也就是两次,但有些博客写的是多次,这个多次到底是几次并不知道,但是以两次来理解下面的实验都能说的通)。就是这个特性导致了主键重复并报错。我们来看:
当group by 取第一条from 表记录时,此时group by的是’security0’,发现临时表中并没有’security0’的主键,注意,这个时候rand(0)*2会再计算一次,经floor()后,率先插入临时表的主键不是security0,而是security1,并计数1。
然后取第二条记录,第二条记录group by 的key中的01仍由floor(rand(0)2)继续计算获得,也就是security1。此时临时表中已经有security1的主键了,所以count()直接加1就可以。
继续从from的表中取第三条记录,再次计算floor(rand(0)2),结果为0,与database()拼接为security0,临时表的主键中并不存在,在插入前,floor(rand(0)2)又计算一次,拼接后与secruity1,但是是直接插入,即使临时表中已经有了主键security1也硬要插入,从而导致主键重复报错,也就是:ERROR 1062 (23000): Duplicate entry ‘security1’ for key ‘group_key’。
写道这里报错的原理已经说完了,不知道大家跟我呼应上了没,有没有感受到我的倔强及小宇宙。
0x06 优化
咱们继续看,咱们共从from的表中取了三条记录,因为floor(rand(0)2)的值为011011…,但其实第三次计算的1可以不要的,如果某个floor(rand(x)2)满足0101或1010,那么from的表中两条数据就是可以报错的。我经过多次实验,发现floor(rand(14)*2)的值为101000…,那么咱们创建一个有两条数据的表试一下看看。
创建一个test表,里面只有两条数据。
分别用rand(0)2和rand(14)2做实验。
也就是说,在测试过程中,其实使用rand(14)*2更好一丢丢。如果from的表中只有一条数据的话floor()报错注入就没法用了,毕竟是重复,只插入一条数据怎么主键重复,对吧。
0x07 总结
最后一句话总结下:floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
参考链接:
https://www.freebuf.com/column/235496.html
http://8rr.co/8bjS
精彩推荐
