SQL注入的报错注入函数

本文详细介绍了SQL注入中常用的报错注入函数,包括extractvalue()、updatexml()、floor()和exp()。通过示例和解题思路,展示了如何利用这些函数在过滤某些字符或函数的情况下,曝光数据库名、表名和列名,从而完成信息获取。同时,还提到了MySQL中的information_schema数据库在报错注入中的作用。

 

 

 

一、extractvalue()

  extractvalue(xml_frag,xpath_expr)函数接受两个参数,第一个为XML标记内容,也就是查询的内容,第二个为XPATH路径,也就是查询的路径。如果没有匹配内容,不管出于何种原因,只要 xpath_expr有效,并且 xml_frag由正确嵌套和关闭的元素组成 - 返回空字符串。不区分空元素的匹配和无匹配。但是如果XPATH写入错误格式,就会报错,并且返回我们写入的非法内容。

information_schema:MySQL中自带数据库

information_schema.columns:表,其中列table_schema记录所有库名,列table_name记录所有表名,列column_name记录所有列名

information_schema.tables:表,其中列table_schema记录所有库名,列table_name记录所有表名,不含列名信息。

例题:http://ctf5.shiyanbar.com/web/baocuo/index.php (加了料的报错注入)

解题思路:经过测试,发现username处过滤了()而可以使用extractvalue、updatexml等报错函数字符,password处过滤了报错函数,而可以使用()。

于是构造payload

曝数据库名:

后台代码效果:

曝表名:

蓝色背景处在后代解读为注释,不执行。

注:regexp,在MySQL中使用regexp操作符进行正则式的匹配。由于此题中=被过滤,于是改用regexp

       或者是用in,MySQL中in的使用方法:select * from test where field in (value1,value2,....)

曝列名:

Flag:

 

二、updatexml()

  updatexml(xml_target,xpath_expr,new_xml)接受三个参数,此函数将XML标记的给定片段的单个部分替换为xml_target新的XML片段new_xml,然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。如果未xpath_expr找到表达式匹配 ,或者找到多个匹配项,则该函数返回原始 xml_targetXML片段。所有三个参数都应该是字符串。与extractvalue()类似,如果XPATH写入错误格式,就会报错,并且返回我们写入的非法内容。

例题同上:http://ctf5.shiyanbar.com/web/baocuo/index.php (加了料的报错注入)

曝库:

曝表:

曝列:

Flag:

 

三、floor()

  floor(x),返回小于或等于x的最大整数。

payload:select conut(*),(concat(database(),rand(0)*2))x from infromation_schema.tables group by x;

x表示concat(database(),rand(0)*2),rand(0)以0为随机种子产生0-1之间的随机数,*2产生0-2之间的随机数。

报错原因:主键重复,必需:count()、rand()、group by

分析链接:https://xz.aliyun.com/t/253#toc-2

四、exp()

  exp(x)返回e^x。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值