今天用sqlmap掃一個網站，想得到一個表的所有列名，注意到sqlmap用到的一個error-based payload的:

?

1 AND (SELECT 3174 FROM(SELECT COUNT(*),CONCAT(0x71666f7771,(SELECT MID((IFNULL(CAST(column_name AS CHAR),0x20)),1,50) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x73797374656d AND table_schema=0x68646d303334303337335f6462 LIMIT 0,1),0x7165767371,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

?

sqlmap通過這句話最終得到了一個叫“system”的表的一個叫“id”的列的列名（也就是“id”:）

好奇這個sql語句是怎么實現這個功能的。

第一眼看到這個sql語句真心是一頭霧水，在vim里面展開，并在目標機器上跑了一下，發現會報一個

錯誤：Duplicate entry 'qfowqidqevsq1' for key 'group_key' (1062)

這個錯誤的entry就包含著要得到的列名“id”，原來這就是傳說中error-based的意思，就是通過讓目標機器的mysql server報錯，來獲取對應的信息。

通過分析，造成這個錯誤的原因主要在于那個concat()最后的floor(rand(0)*2),這個東西每次隨即產生的值不同會導致group by的key不唯一，所以就報錯了。真心是妙招。

?

隨便google了一下，找到這么一個網頁，有一些專門相關的介紹

http://zentrixplus.net/blog/sql-injection-error-based-double-query/

轉載于:https://www.cnblogs.com/flyFreeZn/p/3421510.html

總結

以上是生活随笔為你收集整理的关于mysql的error-based injection payload的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。