找了一下mysql对extractvalue()、updatexml()函数的官方介绍https://dev.mysql.com/doc/refman/5.7/en/xml-functions.html#function_extractvalue
ExtractValue(xml_frag, xpath_expr)
知识点
解释一下这两个参数xml_frag,是xml标记片段,第二个参数它返回由 XPath 表达式匹配的元素的第一个文本子节点的文本内容(CDATA)
XPath 表达式是一种用于在 XML 或 HTML 文档中定位和选择特定节点或节点集的语法
基础语法:
1./:/html表示选取 HTML 文档的根节点<html>。
//:表示在整个文档中进行搜索,不考虑节点的具体位置。eg://div表示选取文档中所有的<div>元素。2.@:用@符号来选取节点的属性
eg://a[@href]表示选取所有具有href属性的<a>元素。3.[]:用于筛选节点,放在方括号[]中。eg
://li[1]表示选取第一个<li>元素,//div[@class='content']表示选取class属性为content的<div>元素。4.文本子节点:元素内纯文本的内容
5.CDATA:只当作字符数据来处理,不进行额外转译
结合实例
后面一步一步常规注入就行了,通常还会在 concat() 中加入特殊字符(如 ~、0x7e、#)来确保 XPath 解析失败
UpdateXML(xml_target, xpath_expr, new_xml)
知识点
1.此函数将给定的 XML 标记片段 xml_target 的单个部分替换为新的 XML 片段 new_xml,然后返回更改后的 XML。xml_target 中被替换的部分与用户提供的 XPath 表达式 xpath_expr 匹配。如果没有找到与 xpath_expr 匹配的表达式,或者找到了多个匹配项,该函数将返回原始的 xml_target XML 片段。所有三个参数都应该是字符串。
(/G是以垂直形式查询结果而非表格)
2.符号:
*:通配符eg:/*/b ,/*/b/*
|:联合 eg://b|//c 匹配 XML 目标中的所有 b 和 c 元素
g[@attribute="value"]:eg://b[@id="idB"] 在片段 <a><b id="idA"/><c/><b id="idB"/></a> 中匹配第二个 b 元素,//*[attribute="value"]匹配具有 attribute="value" 的任何元素
//b[@c="x"][@d="y"]:匹配在给定 XML 片段中任何位置出现的元素 <b c="x" d="y"/>
//b[@c="23"]|//b[@c="17"]:相当于//b[@c="23" or @c="17"],匹配 c 属性的值为 23 或 17 的所有 b 元素
结合实例
忘记加group_concat,也可以limit一个一个查注意是limit0,1
而不是limit(0,1),哦买噶做的时候搞错了一直不行
后面常规注入就行了,本来做过一遍,没保存没掉了
Post
Pass11
找到一篇文章对原理解释很清晰
1-Web安全——初识SQL注入漏洞_select * from user where name='123' or '1'='1-CSDN博客
从网上找的源码,便于理解post传参的查询语句
界面变成登陆页面
随便输入,抓包,是post传参
报错
admin显示登陆成功
尝试--+ 登陆失败,但是-- -登陆成功,过滤了--+
尝试万能密码登陆成功
order by1,2可任意1,2,3不行
说明有两列
判断回显位1,2都可,
数据库名字回显,其实大体和get差不多
Pass12
"报错,闭合是")
尝试改过后的万能密码得到部分信息
两列,后面步骤一样了
Pass13
')闭合
万能密码无回显,用报错注入
Pass14
双引号闭合
但是没有信息回显
虽然1,2时没有有效信息,尝试1,2,3的时候爆错,说明有2列
无回显还是试试爆错注入,注意payload怎末写别搞错掉
后面一样了
Pass15
布尔盲注
无论试什么都没得回显,
尝试万能密码成功登录,所以是单引号闭合,找到注入点,尝试报错注入
还是没得回显,可能过滤了被,只能用布尔盲注了注意payload里是or
好的后面按着做就行了,哦哦最好还是先用length把长度爆出来,当然了也可以用if语句构造延时盲注,我看别人的wp还可以用sqlmap做
sqlmap
下载成功,这篇文章对sqlmap的使用解释的非常清楚SQLMAP的下载安装和使用(Windows)_sqlmap下载-CSDN博客
算了,搞了半天环境变量也添加了,就是显示无法运行我也不知如何是好
Pass16
和pass15一样,就是闭合改为")
Pass17
页面提醒重置密码,无论怎摸样都没有回显,查看源码,只对uname进行了过滤,所以uname必须为真
直接爆破出用户名admin
在passwd位置单引号,爆错,单引号闭合
后面就在password位置报错注入就ok了
