本文章主要涉及group by报错注入的原理讲解,如有错误,望指出。(附有目录,如需查看请点右下角)

一、下图为本次文章所使用到 user表,该表所在的数据库为 test

CTF-sql-group by报错注入 Safe 第1张

二、首先介绍一下本文章所使用的到的语法:(第5、6条必须看,这涉及到之后的原理讲解)

1、group by语句:用于结合合计函数,根据一个或多个列对结果集进行分组。

如下图:

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

CTF-sql-group by报错注入 Safe 第2张

2、rand()函数:用于产生一个0-1之间的随机数:

如下图:

CTF-sql-group by报错注入 Safe 第3张

注意:
当以某个整数值作为参数来调用的时候,rand() 会将该值作为随机数发生器的种子。对于每一个给定的种子,rand() 函数都会产生一列【可以复现】的数字

3、floor()函数:向下取整:

如下图:

CTF-sql-group by报错注入 Safe 第4张

4、count()函数:返回指定列的值的数目(NULL 不计入),count(*):返回表中的记录数

如下图

CTF-sql-group by报错注入 Safe 第5张

5、floor(rand()*2):rand()*2 函数生成 0-2之间的数,使用floor()函数向下取整,得到的值就是【不固定】的 “0” 或 “1”

如下图:

CTF-sql-group by报错注入 Safe 第6张

6、floor(rand(0)*2):rand(0)*2 函数生成 0-2之间的数,使用floor()函数向下取整,但是得到的值【前6位(包括第六位)是固定的】。(为:011011)

如下图:

CTF-sql-group by报错注入 Safe 第7张

三、接下来我们开始讲解group by进行分组的原理:(如果你觉得已经理解了该原理请直接转:四)

首先让我们思考一下下面三个sql语句,从中我们可以得知什么:

1、select username,count(*) from user group by username;
2、select username,count(*) from user group by "username";
3、select username,count(*) from user group by userna;

运行结果如下:

CTF-sql-group by报错注入 Safe 第8张

结论:

我们发现group by后面的参数可以是一个column_name(字段名),可以是一个字符串(或返回值为字符串的函数),不可以是不完整的column_name。这时你们可能会想,参数是column_name我倒是可以理解是怎么分组的,但是参数是 字符串 是怎么回事?username字段的值中没有"username"啊?只有"admin","chen"两个,结果怎么会是 7 呢?让我们接着往下看。

原因:上面sql语句的分组原理(虽然是我的推测,但是这样说明的确可以解释的通):

1、如果参数是 column_name,即 username,不是字符串("username")。

语句执行的时候会建立一个虚拟表(里面有两个字段,分别是 key 主键,count(*)),如果参数是 column_name,系统便会在 user 表中【 依次查询 [相应的] 字段的值(即:参数指明的字段中的值) 】,取username字段第一个值为 admin,这时会在虚拟表的 主键key 中查找 admin 这个字符串,如果存在,就使 count(*) 的值加 1 ;如果不存在就将 admin 这个字符串插入到 主键key 字段中,并且使 count(*) 变为 1;接着取username字段第二个值也为 admin ,查找虚拟表中的 主键key 中已经存在 admin 字符串,就直接将 count(*) 加 1;…… …… ……;到username字段第四个值为 chen 时,查找虚拟表中的 主键key 字段不存在 chen 这个值,此时就将 chen 这个字符串再次插入到 主键key 字段中,并且使 count(*) 变为 1,就这样一直执行下去,直到所有的字段值分组完毕。之后系统就按照虚拟表中的结果将其显示出来。

取完username字段第四个值(即:chen)时的 虚拟表 ,如下图:

CTF-sql-group by报错注入 Safe 第9张

2、如果参数是字符串:"username",而不是字段名:

语句执行的时候仍会建立一个虚拟表(里面有两个字段,分别是 key 主键,count(*)),如果参数是字符串 "username",那系统就不会去取user表中的字段值了,而是直接取字符串:"username"作为值,然后查找比对虚拟表中 key 字段的值,发现没有字符串 "username",便插入 "username" 这个字符串,并将count(*) 变为1;然后执行第二次,在虚拟表 key 字段中查找 "username" 这个字符串,发现有,便使 count(*) 加 1,就这样执行 7 次,count(*)便变成了 7。

四、理解完上面之后,让我们进入正题,请看下两条的sql group by报错注入语句,以及其运行结果:

1、select count(*) from information_schema.tables group by concat(database(),floor(rand(0)*2));
2、select count(*) from information_schema.tables group by concat(database(),floor(rand()*2));

CTF-sql-group by报错注入 Safe 第10张

可以看到,user表所在的 test 数据库被成功的爆了出来。但是你们仔细观察的话会发现第二个sql语句爆率并不是100%,有时会爆不出来,为什么呢?别着急,继续往下看:

原因:在我们已经有上面的铺垫之后其实要理解这个sql group by报错注入的原理已经不难了:

以第一条语句为例:select count(*) from information_schema.tables group by concat(database(),floor(rand(0)*2));
首先我们知道

  • floor(rand(0)*2) 产生的随机数的前六位 一定是 “011011”(上面已经提到过了),
  • concat()函数用于将前后两个字符串相连
  • database ()函数由于返回当前使用数据库的名称。
  • concat(database(),floor(rand(0)*2))生成由‘database()+‘0’’和‘database()+‘1’’组成的随机数列,则前六个数列一定依次是:
    • 'database()+'0''
    • 'database()+'1''
    • 'database()+'1''
    • 'database()+'0''
    • 'database()+'1''
    • 'database()+'1''

报错的过程:

  • 查询前默认会建立空的虚拟表
  • 取第一条记录,执行concat(database(),floor(rand(0)*2))(第一次执行),计算结果为'database()+'0'',查询虚拟表,发现'database()+'0''主键值不存在,则会执行插入命令,此时又会再次执行一次concat(database(),floor(rand(0)*2))(第二次执行),计算结果为'database()+'1'',然后插入该值。(即:虽然查询比对的是'database()+'0'',但是真正插入的是执行第二次的结果'database()+'1'',这个过程,concat(database(),floor(rand(0)*2))执行了两次,查询比对时执行了一次,插入时执行了一次)。
  • 取第二条记录,执行concat(database(),floor(rand(0)*2))(第三次执行),计算结果为'database()+'1'',查询虚拟表,发现'database()+'1''主键值存在,所以不再执行插入指令,也就不会执行第二次concat(database(),floor(rand(0)*2)),count(*) 直接加1,(即,查询为'database()+'1'',直接加1,这个过程,concat(database(),floor(rand(0)*2))执行了一次)。
  • 取第三条记录,执行concat(database(),floor(rand(0)*2))(第四次执行),计算结果为'database()+'0'',查询虚拟表,发现'database()+'0''主键值不存在,则会执行插入命令,此时又会再次执行一次concat(database(),floor(rand(0)*2))(第五次执行),计算结果为'database()+'1''将其作为主键值,但是'database()+'1''这个主键值已经存在于虚拟表中了,由于主键值必需唯一,所以会发生报错。而报错的结果就是 'database()+'1''即 'test1',从而得出数据库的名称 test。%e6%b5%85%e6%98%93%e6%b7%b1

由以上过程发现,总共取了三条记录(所以表中的记录数至少为三条),floor(rand(0)*2)执行了五次

五、总结

现在,解释了group by报错注入的原理,想必大家已经知道为什么:

  • select count(*) from information_schema.tables group by concat(database(),floor(rand(0)*2));一定可以注入成功(要成功注入,前提表中的记录数至少为三条)
  • 而select count(*) from information_schema.tables group by concat(database(),floor(rand()*2));却不一定了吧。(要成功注入,前提表中的记录数至少为两条)

没错是因为floor(rand()*2)的前几位随机数顺序是不固定的,所以并不能保证一定会注入成功,但是其只需两条记录数就行了(因为它可能会产出 “0101” ,这样只需两条记录就可以成功注入,你可以试试推导一下),这也算是它的优势吧。

文章是博主一字一字打出来的,转载请标明出处,谢谢!

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄