【extractvalue报错注入】

最新推荐文章于 2024-09-25 17:53:40 发布
最新推荐文章于 2024-09-25 17:53:40 发布
阅读量699 收藏 13
点赞数 17
分类专栏: CTF 文章标签: 运维 服务器 linux php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45131319/article/details/140229175
版权

一、基础知识

xml

请添加图片描述

Extractvalue

请添加图片描述
我们试着用mysql操作一下
请添加图片描述
使用上述命令就可以提取出admin这个数据

Updataxml

我们刚刚人数的 Extractvalues 是提取数据,Updataxml是替换数据

请添加图片描述
前两个参数和我们的 Extractvalues 是一样的,第三个参数填写我们要替换的数据

我们来测试一下:

请添加图片描述
我们可以看到username元素里面的admin就被成功替换成了123456

concat

请添加图片描述

二、Extractvalue报错注入

简介

请添加图片描述
请添加图片描述
上图中的payload 我们通过在extractvalue函数里的第一个参数随便填,第二个参数里填入我们要执行的sql查询语句,这里的concat是必要的,如果缺少concat , 例如:select extractvalue(1,(select database()));那么服务器会原封不动的把我们想要执行的sql语句返回,如上图小问题的执行结果,但如果加上concat服务器会把我们concat里面第二个参数里的sql语句执行后再和我们的1拼接,形成报错再返回给我们,就能达成我们想要的目的如下图:

请添加图片描述

注入练习

下面我们做一道题来练习一下,练习之前我们复习一下数字型注入和字符型注入的区别

请添加图片描述
下面我们看题目,这道题里,我们看到if那行过滤了union,我们无法使用union来进行注入:
请添加图片描述

找到注入点

我们直接在id后面加单引号看看有没有注入:
请添加图片描述
我们看到服务器返回了报错信息,那么注入点就是我们的id这个参数,并且返回了报错,我们就可以利用报错注入

数字型或字符型

首先先判断是字符型注入还是数字型注入,我们通过在后面加上and 1=1%23 来测试是否为字符型注入,但我们看到服务器还是返回了报错信息:
请添加图片描述
那么我们把单引号去掉,我们看到成功回显了数据,那么就是数字型注入:
请添加图片描述

拿数据库名

我们直接使用 id=1 and (extractvalue(1,concat(1,(select database()))))%23现在我们就可以看到,服务器直接报出了我们的数据库名web:
请添加图片描述

拿表名

表名我们这里使用之前讲到的information_schema这个数据库,里面有shemata、tables
columns,分别是记录数据库名、表名、列名。下面我们用这个tables拿表名,我们在concat函数的第二个参数里填入:

select table_name from information_schema.tables where table_schema=database()

我们构造好后发包,发现返回内容说超过了一行:
请添加图片描述
我们来数据库里面具体操作一下看为什么会产生这样的结果:
请添加图片描述我们看到查询结果提示超过了一行,我们把要查询的语句单独拿出来执行看看会怎么样:
请添加图片描述
执行后我们看到有两条返回结果,所以说超过了一行就会出现报错,我们接下来把两行结果合并成一行

group_concat

我们使用group_concat()函数可以把多条结果合并成一行,我们在原来的语句中加入这个函数:
请添加图片描述
我们可以看到,它在原来的语句中把刚刚的两行结果合并成了一行,中间用逗号分隔开,接着我们返回注入点测试一下:
请添加图片描述
成功执行,拿到了两个表名,一个是flag,一个是user

拿列名

拿到表名后,我们拿flag的列名:

select group_concat(column_name) from information_schema.columns where table_name='flag'

成功后爆出了id和flag列
请添加图片描述

拿数据

select flag from flag

直接查flag列:
请添加图片描述
查询后我们发现,似乎flag并不是完整的,他前面只有一个括号,后面没有闭合,那是 因为我们的Extractvalue报错信息最多只能显示32位,也就是说我们的flag长度超出了限制,那么我们要如何获取后面的数据

substr
substr('123',2)

这个函数里的123是我们需要提取的数据,2是我们要从第2位开始一直获取数据到结尾,上面这个函数执行的结果:

+----------------+
| SUBSTR('123', 2) |
+----------------+
| '23'           |
+----------------+

他们可以从我们给定起始位置一直返回到字符串的末尾,我们使用以下代码来截取没有显示的flag:

select substr(flag,30) from flag

现在就成功回显了后面的数据:
请添加图片描述

三、Updataxml报错注入

Updataxml的报错原因和我们的Extractvalue报错原因基本上是一样的,不一样的地方就是多了一个参数,但这个参数也是随便写的

请添加图片描述

下面是updataxml使用的payload

请添加图片描述
这些payload的执行流程和我们之前的步骤一样,同样有超过一行的问题,同样只显示30位,这里就不复述了

盖头盖
关注
专栏目录
【漏洞挖掘】——107、Extractvalue报错注入刨析
Fly_鹏程万里
06-21 91
在测试过程中,此处的table_name需要换成查询得到的表名的十六进制数据,之后通过调整limit start,length的start值来获取要查询表的所有字段名信息。id=1' and 语句”等其他类型的语句。在测试过程中此处的table_name需要换成查询得到的表名的十六进制数据,之后通过调整limit start,length的start值来获取要查询表的所有字段名信息。在实际使用过程中需要更换limit start,length中的start的值,依次来获取当前数据库中的所有表名信息。
extractvalue报错注入理论及实战
走马
11-07 989
什么是报错注入构造语句,让错误信息中夹杂可以显示数据库内容的查询语句,返回报错提示中包括数据库中的内容如上图所示,通过group by的报错,我们可以知道列数是多少输入正确的查询数据库的SQL语句,虽然可以执行成功,但是页面不显示数据库的名称我们故意将database写为databasa,此时数据库的名称security在报错信息中显示了出来因此可以利用报错的信息得到我们想要的信息。1.通过floor()报错注入2.通过extractvalue()报错注入
extractvalue报错注入
bangyan3903的博客
08-18 3554
查看源码 $uagent = $_SERVER['HTTP_USER_AGENT']; ………… $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ………… $sql="SELECT users.username, users.password FROM users...
sql盲注_extractvalue报错注入
sugar_by的博客
06-02 1019
什么是报错注入 这是一种页面响应形式,响应过程如下: 用户1在前台页面输入检索内容------>后台将前台页面上输入的检索内容无加区别的拼成sql语句,送到数据库执行------->数据库将执行的结果无加区别的显示到前台页面上 俩个“无加区别”后台对输入输出的合理性没有做检查 也就是说输入进去的内容和输出的内容不做检查的 那什么时候用报错注入呢? 构造语句,让错误信息中夹杂可以显示数据库内容的查询语句 返回报错提示中包含数据库中的内容 命令对但是不回显 但是报错是......
new_floor、updatexml、extractvalue报错注入浅析
weixin_42282189的博客
07-03 318
常见报错语句: 通过concat函数连接注入语句与floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。floor函数的作用就是返回小于等于括号内该值的最大整数。 rand()可以产生一个在0和1之间的随机数 直接使用rand函数每次产生的数值不一样,但当我们提供了一个固定的随机数的种子0(官方的单词是seed)之后,每次产生的值都是相同的,这也可以称之为伪随机。 floor(rand(0)*2)就是对rand(0)产生的随机序列乘2后的结果,再进行取整。配合上floor函数就可以产
MySQL注入过滤updatxml_WEB安全之SQL注入(7)——updatexml报错注入extractvalue报错注入...
weixin_39576127的博客
01-28 536
大家好,我是阿里斯,一名IT行业小白。今天分享的内容是报错注入剩余部分,主要内容会以extractvalue()和updatexml()报错误为中心展开阐述。函数介绍extractvalue(参数1,参数2)参数1:xml文档字符串参数2:xpath格式字符串该函数主要用来查找并解析xml文档updatexml(参数1,参数2,参数3)参数1:xml文档字符串参数2:xpath格式字符串参数3:替...
Sqli - Labs第一关 extractvalue报错注入简易教程,速成extractvalue报错注入
weixin_74320581的博客
05-18 284
Sqli - Labs第一关 extractvalue报错注入简易教程,速成extractvalue报错注入
小白报错注入学习(以extractvalue函数报错为例)
qq_35075142的博客
04-18 305
XPath_string (Xpath格式的字符串):XPath_string (Xpath格式的字符串):Xpath_string是xpath格式的字符串。:Xpath_string是xpath格式的字符串。:String 格式,替换查找到的符合条件的数据。:String 格式,替换查找到的符合条件的数据。:String 格式,XML 文档对象的名称。:String 格式,XML 文档对象的名称。如果要等效为联合注入的格式的话,是这样子:1。:string格式,为xml文档对象的名称。
SQL注入——extractValue()报错注入
heyingcheng的博客
03-06 3012
在实际的注入过程中,查询的列(比如本例中的doc)是不用管的,随便写就可以。因为我们关注的是后面查询的更重要的东西(database)于是我们想到,如果在报错之前执行一下select语句,然后在报错提醒信息那里回显出我们想要的数据信息就好了,这就是报错注入。这条命令的意思是,想要显示的内容123456,这句话的意思是从第一个字符开始显示,显示后面的三个,即123。同理,从第31个字符开始显示,显示后面的30个字符。比如在本例中把查询参数的路径写错,页面上只会显示查询不到内容,但是不会报错。
extractvalue报错注入需要猜解字段吗
05-30
是的,使用 extractvalue 函数进行注入时,需要先猜解出目标数据库中的字段名和表名,才能进行注入。因为 extractvalue 函数需要指定要查询的字段名和表名,如果不知道这些信息,无法进行有效的注入。因此,常见的 ...
SQL注入系列篇 | 报错注入
d59hao的博客
05-05 956
报错注入是通过构造恶意SQL,使数据库报错,从报错信息中得到敏感信息的方法。如果服务器应用没有对这种错误进行处理,则攻击者可以通过页面的错误回显获取数据。
sqli-labs Less-5(利用extractvalue进行报错注入
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-30 1291
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) 作者水平有限,如发现错误请指出。 1、通过观察发现,不管id等于几均显示You are in…。猜测无回显 可使用联合注入验证猜测 利用order by 判断出有3个字段 2、加单引号发现为字符型注入,发现页面有错误回显 3、尝试使用extractva
[含注入思路]渗透学习日记day16(extractvalue和updatexml报错注入
qq_44836237的博客
12-24 299
前言: 最近几天因为工作原因和内心过于放纵自己,没有更新进度了学习还是要坚持啊,加油。 前两天跟小迪的视频弄了一下一个逻辑漏洞,涉及了从fofa搜索引擎批量化爬取带有相关关键词的网站,但是这个视频是今天一月份的了,有个问题就是fofa的cookie字段有点不同,加了个token字段,原先的脚本不能够正常运行了,本人能力有限,搜索之后也只是在csdn中看到了和我有类似疑问的一条评论。 因为批量化导出需要fofa会员,在某鱼上购买后询问得知可以直接使用API,用的是一个fofa批量导出的工具,直...
GPU服务器本地搭建Dify+xinference实现大模型应用
最新发布
qq_43548590的博客
09-25 506
GPU服务器本地搭建Dify+xinference实现大模型应用
一体化运维管理软件在医院信息化运维体系中的必要性
MXsoft618的博客
09-21 348
监控易在医院的应用已经相当普及。这些软件在医院信息化运维中发挥着关键作用,提高了医院信息系统的稳定性和可靠性,确保了医疗服务的高效运行。例如,在郑州人民医院、某市第一人民医院等诸多医疗机构中,监控易已经被成功应用并取得了显著的效果。监控易一体化运维管理软件在医院信息化运维体系中扮演着“智能守护者”的角色。它通过全面的监控和管理功能,确保医院信息系统的稳定运行,提高运维效率,并为医院提供高效、精准的运营管理服务。随着医院信息化建设的不断深入,信息系统的稳定性和安全性对于医疗服务的质量和效率至关重要。
828华为云征文 | 华为云 X 实例服务器存储性能测试与优化策略
cooldream2009的博客
09-25 1438
在当今数字化时代,服务器的存储性能对于企业和个人用户来说至关重要。华为云作为全球领先的云服务提供商,其 X 实例服务器以强大的性能和可靠性备受关注。本文将详细介绍对华为云 X 实例服务器存储性能的测试过程,并探讨相应的优化策略,帮助读者更好地了解和利用这一强大的云服务资源。
【CSP】2024第二轮前的准备工作
m0_54696634的博客
09-24 339
第二轮成绩还没出,估分有希望但不高,发个帖子涨rp。
grpcweb 客户端请求grpc-java服务器
nddjava的专栏
09-24 363
1. 定义grpc proto文件:HelloWorld.proto。5.grpc-web代理:nginx。3. grpc-web js生成。2. java grpc服务。4. grpc-web代码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值