一、extractvalue()
extractvalue(xml_frag,xpath_expr)函数接受两个参数,第一个为XML标记内容,也就是查询的内容,第二个为XPATH路径,也就是查询的路径。如果没有匹配内容,不管出于何种原因,只要 xpath_expr有效,并且 xml_frag由正确嵌套和关闭的元素组成 - 返回空字符串。不区分空元素的匹配和无匹配。但是如果XPATH写入错误格式,就会报错,并且返回我们写入的非法内容。
information_schema:MySQL中自带数据库
information_schema.columns:表,其中列table_schema记录所有库名,列table_name记录所有表名,列column_name记录所有列名
information_schema.tables:表,其中列table_schema记录所有库名,列table_name记录所有表名,不含列名信息。
例题:http://ctf5.shiyanbar.com/web/baocuo/index.php (加了料的报错注入)
解题思路:经过测试,发现username处过滤了()而可以使用extractvalue、updatexml等报错函数字符,password处过滤了报错函数,而可以使用()。
于是构造payload
曝数据库名:
后台代码效果:
曝表名:
蓝色背景处在后代解读为注释,不执行。
注:regexp,在MySQL中使用regexp操作符进行正则式的匹配。由于此题中=被过滤,于是改用regexp
或者是用in,MySQL中in的使用方法:select * from test where field in (value1,value2,....)
曝列名:
Flag:
二、updatexml()
updatexml(xml_target,xpath_expr,new_xml)接受三个参数,此函数将XML标记的给定片段的单个部分替换为xml_target新的XML片段new_xml,然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。如果未xpath_expr找到表达式匹配 ,或者找到多个匹配项,则该函数返回原始 xml_targetXML片段。所有三个参数都应该是字符串。与extractvalue()类似,如果XPATH写入错误格式,就会报错,并且返回我们写入的非法内容。
例题同上:http://ctf5.shiyanbar.com/web/baocuo/index.php (加了料的报错注入)
曝库:
曝表:
曝列:
Flag:
三、floor()
floor(x),返回小于或等于x的最大整数。
payload:select conut(*),(concat(database(),rand(0)*2))x from infromation_schema.tables group by x;
x表示concat(database(),rand(0)*2),rand(0)以0为随机种子产生0-1之间的随机数,*2产生0-2之间的随机数。
报错原因:主键重复,必需:count()、rand()、group by
分析链接:https://xz.aliyun.com/t/253#toc-2
四、exp()
exp(x)返回e^x。