使用exp进行SQL报错注入 (如何使用expasy)

教程大全 2025-07-15 04:06:48 浏览次

0x01 前言概述

好消息好消息～作者又在MySQL中发现了一个Double型数据溢出。如果你想了解利用溢出来注出数据，你可以读一下作者之前发的博文：BIGINT Overflow Error based injections，drops上面也有对应翻译，具体见这里。当我们拿到MySQL里的函数时，作者比较感兴趣的是其中的数学函数，它们也应该包含一些数据类型来保存数值。所以作者就跑去测试看哪些函数会出现溢出错误。然后作者发现，当传递一个大于709的值时，函数exp()就会引起一个溢出错误。

mysql> SELECT exp(709);+-----------------------+| exp(709) |+-----------------------+| 8.218407461554972e307 |+-----------------------+1 row in set (0.00 sec)
mysql> select exp(710);ERROR 1690 (22003): DOUBLE value is out of range in 'exp(710)'

在MySQL中，exp与ln和log的功能相反，简单介绍下，就是log和ln都返回以e为底数的对数，见等式：

mysql> select log(15);+------------------+| log(15) |+------------------+| 2.70805020110221 |+------------------+1 row in set (0.00 sec)
mysql> select ln(15);+------------------+| ln(15) |+------------------+| 2.70805020110221 |+------------------+1 row in set (0.00 sec)

指数函数为对数函数的反函数，exp()即为以e为底的对数函数，如等式：

mysql> select exp(2.70805020110221);+-----------------------+| exp(2.70805020110221) |+-----------------------+| 15 |+-----------------------+1 row in set (0.00 sec)

0x02 注入

当涉及到注入时，我们使用否定查询来造成“DOUBLE value is out of range”的错误。作者之前的博文提到的，将0按位取反就会返回“18446744073709551615”，再加上函数成功执行后返回0的缘故，我们将成功执行的函数取反就会得到***的无符号BIGINT值。

mysql> select ~0;+----------------------+| ~0 |+----------------------+| 18446744073709551615 |+----------------------+1 row in set (0.00 sec)
mysql> select ~(select version());+----------------------+| ~(select version()) |+----------------------+| 18446744073709551610 |+----------------------+1 row in set, 1 warning (0.00 sec)

我们通过子查询与按位求反，造成一个DOUBLE overflow error，并借由此注出数据。

0x03 注出数据

得到表名：

得到列名：

检索数据：

0x04 一蹴而就

这个查询可以从当前的上下文中dump出所有的tables与columns。我们也可以dump出所有的数据库，但由于我们是通过一个错误进行提取，它会返回很少的结果。

0x05 读取文件

你可以通过load_file()函数来读取文件，但作者发现有13行的限制，该语句也可以在BIGINT overflow injections中使用。

注意，你无法写文件，因为这个错入写入的只是0。

0x06 Injection in Insert

按部就班就好

对于所有的insert，update和delete语句DIOS查询也同样可以使用。

0x07 Injection in Update

0x08 Injection in Delete

和前面的BIGINT注入一样，exp注入也适用于MySQL5.5.5及以上版本。以前的版本对于此情况则是“一言不发”。

可能还有其他的函数会产生这种报错呦。(有待你发现啦：)

什么是sql注入？

SQL是Structured Quevy Language(结构化查询语言)的缩写。 SQL是专为数据库而建立的操作命令集，是一种功能齐全的数据库语言。在使用它时，只需要发出“做什么”的命令，“怎么做”是不用使用者考虑的。 SQL功能强大、简单易学、使用方便，已经成为了数据库操作的基础，并且现在几乎所有的数据库均支持SQL。 ##1 二、SQL数据库数据体系结构 SQL数据库的数据体系结构基本上是三级结构，但使用术语与传统关系模型术语不同。在SQL中，关系模式(模式)称为“基本表”(base table)；存储模式(内模式)称为“存储文件”(stored file)；子模式(外模式)称为“视图”(view)；元组称为“行”(row)；属性称为“列”(column)。名称对称如^a^： ##1 三、SQL语言的组成在正式学习SQL语言之前，首先让我们对SQL语言有一个基本认识，介绍一下SQL语言的组成： 1.一个SQL数据库是表(Table)的集合，它由一个或多个SQL模式定义。 2.一个SQL表由行集构成，一行是列的序列(集合)，每列与行对应一个数据项。 3.一个表或者是一个基本表或者是一个视图。基本表是实际存储在数据库的表，而视图是由若干基本表或其他视图构成的表的定义。 4.一个基本表可以跨一个或多个存储文件，一个存储文件也可存放一个或多个基本表。每个存储文件与外部存储上一个物理文件对应。 5.用户可以用SQL语句对视图和基本表进行查询等操作。在用户角度来看，视图和基本表是一样的，没有区别，都是关系(表格)。用户可以是应用程序，也可以是终端用户。 SQL语句可嵌入在宿主语言的程序中使用，宿主语言有FORTRAN，COBOL，PASCAL，PL/I，C和Ada语言等。 SQL用户也能作为独立的用户接口，供交互环境下的终端用户使用。 ##1 四、对数据库进行操作 SQL包括了所有对数据库的操作，主要是由4个部分组成： 1.数据定义：这一部分又称为“SQL DDL”，定义数据库的逻辑结构，包括定义数据库、基本表、视图和索引4部分。 2.数据操纵：这一部分又称为“SQL DML”，其中包括数据查询和数据更新两大类操作，其中数据更新又包括插入、删除和更新三种操作。 3.数据控制：对用户访问数据的控制有基本表和视图的授权、完整性规则的描述，事务控制语句等。 4.嵌入式SQL语言的使用规定：规定SQL语句在宿主语言的程序中使用的规则。下面我们将分别介绍： ##2 (一)数据定义 SQL数据定义功能包括定义数据库、基本表、索引和视图。首先，让我们了解一下SQL所提供的基本数据类型：(如^b^) 1.数据库的建立与删除 (1)建立数据库：数据库是一个包括了多个基本表的数据集，其语句格式为： CREATE DATABASE 〔其它参数〕其中，在系统中必须是唯一的，不能重复，不然将导致数据存取失误。〔其它参数〕因具体数据库实现系统不同而异。例：要建立项目管理数据库(xmmanage)，其语句应为： CREATE DATABASE xmmanage (2) 数据库的删除：将数据库及其全部内容从系统中删除。其语句格式为：DROP DATABASE 例：删除项目管理数据库(xmmanage)，其语句应为： DROP DATABASE xmmanage 2.基本表的定义及变更本身独立存在的表称为基本表，在SQL语言中一个关系唯一对应一个基本表。基本表的定义指建立基本关系模式，而变更则是指对数据库中已存在的基本表进行删除与修改