在过滤union,table,information和各种库名时查询列名

最新推荐文章于 2022-09-06 17:28:19 发布
最新推荐文章于 2022-09-06 17:28:19 发布
阅读量302 收藏 1
点赞数 1
分类专栏: sql web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31028197/article/details/116993871
版权
web 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
sql
2 篇文章 0 订阅
订阅专栏

被血虐的一场比赛的记录,主要考点是如何在过滤了各种关键词的情况下查询一个复杂列名(极长也无法爆破)
题目过滤了information,innodb_index_stats,table等关键词,无法从库中直接查询列名
同时过滤了union,无法通过无列名注入来获取flag

了解到了一种新的注入姿势
使用这个数据库,假设我们不知道password这个列名
在这里插入图片描述
payload:

select * from(select * from testtable a join testtable b using(id,usename))c;

接下来分析一下结构:
首先是使用的SQL join连接和using简化连接

select * from testtable a join testtable b using(id,usename);

意思是testtable连接testtable,以id和usename列为属性列

在这里插入图片描述

testtable后面的a和b是别名,如果不使用别名会出现报错,估计是mysql不允许两个名字完全相同的数据库连接,如果一样就没法在后面加on a.id=b.id and a.usename=b.usename;这种了

select * from testtable join testtable using(id,usename);

在这里插入图片描述

之后是一个派生表和别名
SQL的别名很神奇,跟在后面就行

select * from testtable a;
等同于
select * from testtable as a;

而派生表就是把查询结果作为一个表来处理,而派生表必须有一个别名
当派生表没有别名直接使用时

select * from (select * from testtable);

在这里插入图片描述

正确的用法:

select * from (select * from testtable)a;
select * from (select * from testtable)as a;

在这里插入图片描述
而派生表还有个特性就是不允许有重复的列,如果有则会报错并告知是哪个列重复了,方便修改语句,所以利用这个特性,我们可以得到数据库的列名
由上面可知我们在执行

select * from testtable a join testtable b using(id,usename);

后得到的派生表password列是重复的,为它设置别名时会有

select * from(select * from testtable a join testtable b using(id,usename))c;

在这里插入图片描述
得到列名password

LDAx
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF:[GYCTF2020]Ezsqli --过滤information_schem ------ 无列明注入之过滤union 使用ascii偏移来做
Zero_Adam的博客
03-15 1349
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤候,能够查出数据库的名字,但是表明不知道,这可以用这个来sys.schem
sqli-labs:less-28(过滤union和select)
羽的博客
09-15 248
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; cha...
unionunion all都是合并结果集,不过它们之间是有区别的,union会自动过滤重复的记录值,union all则不会过滤...
weixin_30362801的博客
12-20 436
unionunion all都是合并结果集,不过它们之间是有区别的,union会自动过滤重复的记录值,union all则不会过滤 转载于:https://www.cnblogs.com/angushine/archive/2008/12/20/1358963.html...
sqli-labs:less-27(过滤select和union
羽的博客
09-14 464
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; char...
9-Web安全——SQL注入WAF绕过之select及union过滤
网络安全
06-03 1万+
1. select及union过滤绕过 真实的注入环境中一般无法通过网站的源代码进行安全审计的,那么在注入过程中我们就需要使用常见的SQL注入绕过技巧来帮助我们进行绕过WAF。 首先需要判断网页的注入类型,输入参数?id=1%0Aand%0A1=2,测试URL为: http://www.sqli.com/Less-27/?id=1%0Aand%0A1=2 页面返回的结果如下: 当我们输入id=1 and 1=2,页面还是正常返回,说明这是一个字符型注入。 然...
MySQL在不知道列名情况下的注入详解
09-09
首先,文章提到这种情况主要适用于MySQL 5版本之前的数据库,或者在MySQL 5及更高版本中,如果攻击者已知库名和表名,但不清楚列名。在这种情况下,攻击者可能只能获取到像“id”这样无法提供有用信息的列名。 解决...
SQL脚本:包含库名和fs所需的表
最新发布
12-19
SQL脚本:包含库名和fs所需的表
MySQL中修改库名的操作教程
12-15
可以说是一个实验性的功能,没有在生产中支持过(mysql-5.1 release在mysql-5.1.30),那么生产中我们有为了追求完美需要改一下库名。怎么操作呢? 这里提供一个变通的方法。 1. 创建出新库名: mysql>create ...
库名
02-15
7. **错误处理和调试**:库名提供了良好的异常处理机制,便于开发者捕获和处理运行错误,同,其详尽的日志记录功能也有助于调试和优化代码。 8. **社区支持**:库名有一个活跃的开发者社区,用户可以通过论坛、...
变态方法突破过滤UNION+SELECT继续注入
ncafei的博客
11-27 1万+
http://www.jb51.net/article/48933.htm   前几今天遇到一个bt 的老外注射点:     //*ps 此点目前流行的注射工具射不 *//     http:// /index.php?content=more_product&id=17     http:// /index.php?content=more_product&i
information_schema过滤与无列名注入
snowlyzz的博客
09-06 1268
information_schema过滤与无列名注入
Bypass information_schema
mi900709的博客
12-02 650
Bypass information_schema 前言 聊一聊mysql在被waf禁掉了information_schema库后还能有哪些利用思路,这个想法是前一段间想到的,这次趁着安全客活动就在这里记录一下吧~ 实验环境 windows 2008 r2 phpstudy (mysql 5.7) 某waf(原因是该waf可以设置非法访问information_schema数据库) 前置任务 进行bypass之前先了解一下mysql中的information_schma这个库是干嘛的,在SQ
sql注入中过滤关键字(union select等等)
没事我溜达
03-15 8497
今天来学习一下注入中关键字被过滤了该如何解决 打开靶场,这是我本地搭建的一个靶场所以没有靶场地址 我们在输入框内输入一个1 查询一下结果。 尝试闭合和注释,发现单引号即可完成闭合,--+作为注释内容,通过order by查询列数 看到页面上方order的or被过滤,说明or即是关键词,我们双写or,变成 oorrder by 2 (一定要在or的中间双写or,不然两个都会被注释掉) 通过order by发现只有两列数据,那么开始联合注入 ...
SQL的unionunion all用法以及与 join相关连接方式的区别
weixin_50853979的博客
05-15 4796
目录 1.union的语法及其用法实例 (1)语法: union 即<表1> union <表2> (2)用法:用于获取两张表按行合并数据,提取的是两张表不同取值的值即不提取重复值。 (3)实例 2.union all的语法及其用法实例 (1)语法: union all 即<表1> union all <表2> (2)用法:用于获取两张表按行合并数据,提取的是两张表所有取值的值即提取重复值。 (3)实例 3.unionunion a
SQL注入绕过关键词过滤的小技巧及原理(union select为例)
热门推荐
weixin_54848371的博客
09-22 1万+
本文以联合查询关键字union select为例讲解绕过关键词过滤的一些方法。之所以了解绕过,关键是发现sqlmap有候真的是不靠谱,只能指定命令跑。有一些简单过滤很容易绕过却不能检测。虽然麻烦点,手工yyds~~。 1、大小写变种 UNION SELECT=>uNIon SElecT 选择几个字母变换大小写,可以绕过部分不太聪明的过滤器。在sql查询中是不区分大小写的所以查询语句正常执行 2、使用SQL注释 union select=>/**/UNION/**/...
突破sql 注入过滤Union+SELECT 继续射下去
天元喜羊羊的博客
08-04 1万+
http://www.myhack58.com/Article/html/3/7/2011/31053.htm  前几今天遇到一个bt 的老外注射点:   //*ps 此点目前流行的注射工具射不 *//   http://cleopatra-sy.com/index.php?content=more_product&id=17      http://cleopatr
mysql 注入 information_schema_绕过IDS过滤information_schema继续注入
weixin_35867608的博客
02-07 1158
原文:绕过IDS过滤information_schema继续注入//利用MySQL出错爆出字段mysql> SELECT * FROM (SELECT * FROM user A JOIN user B) C;ERROR 1060 (42S21): Duplicate column name 'Host'mysql> SELECT * FROM (SELECT * FROM user ...
mysql unionunion all 的用法
遇见30的博客
08-27 1430
union 或者 union all 关键字可以将多个 select 语句的结果作为一个整体显示出来。
给出一个完整的项目代码,用servlet和jsp实现在网页中输入数据库,账户密码,库名,表名列名,可以在网页中显示相关数据,点击更新可以对数据库中的数据进行相应的修改,可以在网页和数据库中都看到。
04-26
很抱歉,我并不是一个可以执行代码的程序,我只能给你提供一些思路和参考代码。 首先,你需要在 web.xml 中配置一个 servlet,用于处理用户提交的请求。具体配置如下: ```xml <servlet> <servlet-name>DatabaseServlet</servlet-name> <servlet-class>com.example.DatabaseServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>DatabaseServlet</servlet-name> <url-pattern>/database</url-pattern> </servlet-mapping> ``` 然后,你需要编写一个 DatabaseServlet 类,处理用户提交的请求。具体代码如下: ```java package com.example; import java.io.IOException; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class DatabaseServlet extends HttpServlet { // 数据库连接信息 private static final String DB_DRIVER = "com.mysql.jdbc.Driver"; private static final String DB_URL = "jdbc:mysql://localhost:3306/"; private static final String DB_USERNAME = "root"; private static final String DB_PASSWORD = "password"; @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // 获取用户请求参数 String dbName = req.getParameter("dbName"); String tableName = req.getParameter("tableName"); String columnName = req.getParameter("columnName"); // 连接数据库 Connection conn = null; Statement stmt = null; ResultSet rs = null; try { Class.forName(DB_DRIVER); conn = DriverManager.getConnection(DB_URL + dbName, DB_USERNAME, DB_PASSWORD); stmt = conn.createStatement(); // 查询数据库 rs = stmt.executeQuery("SELECT " + columnName + " FROM " + tableName); // 构造 HTML 响应 StringBuilder sb = new StringBuilder(); sb.append("<html><body>"); sb.append("<table>"); while (rs.next()) { sb.append("<tr>"); sb.append("<td>" + rs.getString(columnName) + "</td>"); sb.append("</tr>"); } sb.append("</table>"); sb.append("</body></html>"); // 发送响应 resp.getWriter().write(sb.toString()); } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } finally { // 关闭数据库连接 try { if (rs != null) { rs.close(); } if (stmt != null) { stmt.close(); } if (conn != null) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // 获取用户请求参数 String dbName = req.getParameter("dbName"); String tableName = req.getParameter("tableName"); String columnName = req.getParameter("columnName"); String id = req.getParameter("id"); String newValue = req.getParameter("newValue"); // 更新数据库 Connection conn = null; Statement stmt = null; try { Class.forName(DB_DRIVER); conn = DriverManager.getConnection(DB_URL + dbName, DB_USERNAME, DB_PASSWORD); stmt = conn.createStatement(); stmt.executeUpdate( "UPDATE " + tableName + " SET " + columnName + "='" + newValue + "' WHERE id=" + id); } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } finally { // 关闭数据库连接 try { if (stmt != null) { stmt.close(); } if (conn != null) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } // 重定向到 GET 请求 resp.sendRedirect(req.getRequestURI() + "?dbName=" + dbName + "&tableName=" + tableName + "&columnName=" + columnName); } } ``` 接下来,你需要编写一个 JSP 页面,用于展示用户查询的结果和更新数据库。具体代码如下: ```html <html> <body> <form method="get" action="/database"> <label>数据库:</label> <input type="text" name="dbName"> <br> <label>表名:</label> <input type="text" name="tableName"> <br> <label>列名:</label> <input type="text" name="columnName"> <br> <input type="submit" value="查询"> </form> <hr> <% if (request.getParameter("dbName") != null && request.getParameter("tableName") != null && request.getParameter("columnName") != null) { %> <table> <thead> <tr> <th>ID</th> <th><%= request.getParameter("columnName") %></th> <th>操作</th> </tr> </thead> <tbody> <% // 连接数据库 Connection conn = null; Statement stmt = null; ResultSet rs = null; try { Class.forName(DB_DRIVER); conn = DriverManager.getConnection(DB_URL + request.getParameter("dbName"), DB_USERNAME, DB_PASSWORD); stmt = conn.createStatement(); // 查询数据库 rs = stmt.executeQuery( "SELECT id, " + request.getParameter("columnName") + " FROM " + request.getParameter("tableName")); // 构造 HTML 响应 while (rs.next()) { %> <tr> <td><%= rs.getInt("id") %></td> <td><%= rs.getString(request.getParameter("columnName")) %></td> <td> <form method="post" action="/database"> <input type="hidden" name="dbName" value="<%= request.getParameter("dbName") %>"> <input type="hidden" name="tableName" value="<%= request.getParameter("tableName") %>"> <input type="hidden" name="columnName" value="<%= request.getParameter("columnName") %>"> <input type="hidden" name="id" value="<%= rs.getInt("id") %>"> <input type="text" name="newValue" value="<%= rs.getString(request.getParameter("columnName")) %>"> <input type="submit" value="更新"> </form> </td> </tr> <% } } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } finally { // 关闭数据库连接 try { if (rs != null) { rs.close(); } if (stmt != null) { stmt.close(); } if (conn != null) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } %> </tbody> </table> <% } %> </body> </html> ``` 最后,你需要将上述代码放到一个 Web 项目中,然后运行该项目,访问 http://localhost:8080/your-project-name/database 即可使用该功能。注意,你需要将代码中的数据库连接信息替换为你自己的连接信息,同需要在你的数据库中创建相应的表格和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值