文章目录
- 1、 xpath语法
- (1)extractvalue
- (2)updatexml
- 2、concat+rand()+group by()导致主键重复
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这里主要介绍报错注入中常用的xpath语法错误和 concat+rand()+group by()导致主键重复。
1、 xpath语法
利用xpath语法错误进行报错注入主要利用以下两个函数:
- extractvalue
- updatexml
注意: xpath语法错误使用条件必须满足mysql版本>5.1.5。
(1)extractvalue
作用:从目标xml中返回包含所查询值的字符串。其语法:
extractvalue(xml_document,xpath_string),即extractvalue('目标xml文件名','在xml中查询的字符串')
第一个参数: xml_document是string格式,为xml文档对象的名称
第二个参数: xpath_string是xpath格式的字符串
注意:第二个参数是要求符合xpath语法的字符串,如果不满足要求,则会报错,并且将查询结果放在报错信息里。
payload:select extractvalue(1,concat('~',database()))
- Xpath没问题的情况下,在1中查询不到database()的结果,但是也没有语法错误,所以不会报错。
- Xpath有问题的情况,用concat函数拼接一个错误的Xpath让mysql报错得到包含查询值的字符串。
注意:extractvalue()能查询字符串的最大长度为32,如果我们想要的结果趋过32,那要用substring()函数截取或limit分页,一次查看最多32位。
(2)updatexml
作用:改变文档中符合条件的节点的值,语法:
updatexml(xml_document,xpath_string,new_value)
- 第一个参数:xml_document是string格式,为xml文档对象的名称;
- 第二个参数:xpath_string是xpath格式的字符串,第二个参数跟extractvalue函数一样,且利用方式相同;
- 第三个参数:new_document是string格式,替换查找到的符合条件的数据;
payload: select updatexml(1,concat('~ ',(select version()), '~'),1)
-
Xpath没问题的情况下,结果如下:
-
Xpath有问题的情况,结果如下。
2、concat+rand()+group by()导致主键重复
这种报错方法的本质是因为floor(rand()*2)的重复性,导致group by语句出错。group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表的数据;如果key不在临时表中,则在临时表中插入key所在行的数据。
- floor():对任意正或者负的十进制值向下取整;
- rand():生成0~1之间的随机数;
- rand(0)*2:生成0~2之间的随机数;
- floor(rand()*2):有两条记录就会报错;
- floor(rand(0)*2):记录需3条以上,且3条以上必报错,返回的值有规律;
- count():是用来统计结果的,相当于刷新一次结果,简单来说就是计数;
- group by():在对数据进行分组时会先看看虚拟表里有没有这个值,没有的话就插入,存在的话count()加1
payload:select 1 from (select count(*),concat((select语句),floor(rand()*2))x from information_schema.tables group by x)a
