MySQL报错注入原理分析：count、rand、group by<\/h1>

0x00 基本概念<\/h2>
MySQL报错注入是一种利用数据库错误信息泄露数据的SQL注入技术。其中，`count()<\/code>、rand()<\/code>和group by<\/code>的组合使用可以产生特定的报错，攻击者可以利用这些报错信息获取数据库中的敏感数据。<\/p>`

0x01 核心报错语句<\/h2>
最常见的报错注入语句：<\/p>
select<\/span> count<\/span>(*<\/span>), (floor(rand(0<\/span>)*<\/span>2<\/span>))x from<\/span> information_schema.tables group<\/span> by<\/span> x;
<\/span><\/span><\/code><\/pre>0x02 报错条件分析<\/h2>
必要条件<\/h3>

必须使用count(*)<\/code>函数<\/li>
必须使用rand()<\/code>函数（特别是rand(0)<\/code>）<\/li>
必须使用group by<\/code>子句<\/li>
表中记录数必须≥3条（对于rand(0)<\/code>）<\/li>
<\/ol>
记录数量影响<\/h3>


使用rand(0)<\/code>时：<\/p>

记录数<3：不会报错<\/li>
记录数≥3：必定报错<\/li>
<\/ul>
<\/li>

使用rand()<\/code>（无参数）时：<\/p>

记录数≥2：可能随机报错<\/li>
报错与否取决于虚表是否已存在0和1键值<\/li>
<\/ul>
<\/li>
<\/ul>
0x03 随机因子分析<\/h2>
rand() vs rand(0)<\/h3>

rand()<\/code>：真正的随机函数，每次调用产生不同的随机序列<\/li>
rand(0)<\/code>：伪随机函数，给定相同种子(0)时产生确定性的序列（011011...）<\/li>
<\/ul>
确定性影响<\/h3>

floor(rand(0)*2)<\/code>：产生固定的011011...序列，导致可预测的报错<\/li>
floor(rand()*2)<\/code>：产生随机序列，报错不可预测<\/li>
<\/ul>
0x04 虚拟表工作原理<\/h2>
当执行select count(*) from table group by x<\/code>时，MySQL会：<\/p>


建立一个虚拟表，包含：<\/p>

key：group by的列（主键，不可重复）<\/li>
count(*)：计数<\/li>
<\/ul>
<\/li>

查询流程：<\/p>

取数据库记录<\/li>
计算group by表达式<\/li>
检查虚表是否存在该key：

存在：对应count(*)加1<\/li>
不存在：插入新记录（key=表达式值，count(*)=1）<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
0x05 报错原理详解<\/h2>
以select count(*) from T-Safe group by floor(rand(0)*2);<\/code>为例：<\/p>


初始空虚拟表：<\/p>
key | count(*)
<\/code><\/pre>
<\/li>

查询第一条记录：<\/p>

计算floor(rand(0)*2)<\/code>=0（第一次计算）<\/li>
虚表无0键，需插入：

再次计算floor(rand(0)*2)<\/code>=1（第二次计算）<\/li>
插入虚表：
key | count(*)
1   | 1
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

查询第二条记录：<\/p>

计算floor(rand(0)*2)<\/code>=1（第三次计算）<\/li>
虚表存在1键，直接count(*)加1：
key | count(*)
1   | 2
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

查询第三条记录：<\/p>

计算floor(rand(0)*2)<\/code>=0（第四次计算）<\/li>
虚表无0键，需插入：

再次计算floor(rand(0)*2)<\/code>=1（第五次计算）<\/li>
尝试插入虚表：
key | count(*)
1   | 2
<\/code><\/pre>
<\/li>
但1键已存在，主键冲突导致报错<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
0x06 关键点总结<\/h2>


计算次数<\/strong>：<\/p>

floor(rand(0)*2)<\/code>在查询过程中被计算多次<\/li>
3条记录时共计算5次（查询3次+插入2次）<\/li>
<\/ul>
<\/li>

确定性序列<\/strong>：<\/p>

rand(0)<\/code>产生固定序列011011...<\/li>
第4次计算=0，第5次计算=1，导致主键冲突<\/li>
<\/ul>
<\/li>

记录数要求<\/strong>：<\/p>

需要≥3条记录才能确保floor(rand(0)*2)<\/code>在插入时产生冲突<\/li>
<\/ul>
<\/li>

无参数rand()<\/strong>：<\/p>

随机性导致报错不可预测<\/li>
当虚表未同时包含0和1键时可能报错<\/li>
<\/ul>
<\/li>
<\/ol>
0x07 实际应用<\/h2>
在SQL注入中，可以利用此报错机制获取数据：<\/p>
select<\/span> count<\/span>(*<\/span>), concat((select<\/span> version<\/span>()), floor(rand(0<\/span>)*<\/span>2<\/span>))x from<\/span> information_schema.tables group<\/span> by<\/span> x;
<\/span><\/span><\/code><\/pre>这将把数据库版本信息包含在错误消息中返回。<\/p>
0x08 防御措施<\/h2>

使用参数化查询<\/li>
对用户输入进行严格过滤<\/li>
避免直接拼接SQL语句<\/li>
设置数据库错误信息不对外显示<\/li>
<\/ol>

MySQL报错注入原理分析：count、rand、group by<\/h1>

0x00 基本概念<\/h2> MySQL报错注入是一种利用数据库错误信息泄露数据的SQL注入技术。其中，count()<\/code>、rand()<\/code>和group by<\/code>的组合使用可以产生特定的报错，攻击者可以利用这些报错信息获取数据库中的敏感数据。<\/p>

0x02 报错条件分析<\/h2>

0x03 随机因子分析<\/h2>

0x08 防御措施<\/h2> 使用参数化查询<\/li> 对用户输入进行严格过滤<\/li> 避免直接拼接SQL语句<\/li> 设置数据库错误信息不对外显示<\/li> <\/ol>

0x00 基本概念<\/h2>
MySQL报错注入是一种利用数据库错误信息泄露数据的SQL注入技术。其中，`count()<\/code>、rand()<\/code>和group by<\/code>的组合使用可以产生特定的报错，攻击者可以利用这些报错信息获取数据库中的敏感数据。<\/p>`

0x08 防御措施<\/h2>

使用参数化查询<\/li>
对用户输入进行严格过滤<\/li>
避免直接拼接SQL语句<\/li>
设置数据库错误信息不对外显示<\/li> <\/ol>