mysql爆表_mysql注入可报错时爆表名、字段名、库名

最新推荐文章于 2023-08-10 17:17:07 发布
最新推荐文章于 2023-08-10 17:17:07 发布
阅读量633 收藏 1
点赞数
文章标签: mysql爆表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29608475/article/details/113161474
版权

mysql注入可报错时爆表名、字段名、库名

已知某个地方有注入,waf拦截了information_schema、columns、tables、database、schema等关键字或函数,我们如何去获取当前表名,字段名和库名呢?

字段名

常见的做法有利用union搭配别名子查询,在不知道字段的时候进行注入。

例如:

1

select * from test where id =1 union select (select e.4 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from test)e limit 1 offset 3)f,(select 1)g,(select 1)h,(select 1)i;

但是如果再进行限制,不允许使用union 该怎么破呢?

今天在翻阅Orange大大的博客,发现在11年hitcon中,有一个应用点类似下面:

1

select name from test where id=1`and(select from (select from test as` `a join testasb) `as c);

可以看到mysql返回一个报错如下:

png;base64,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

把当前表第一个字段成功爆出来了。

这个的原理就是在使用别名的时候,表中不能出现相同的字段名,于是我们就利用join把表扩充成两份,在最后别名c的时候 查询到重复字段,就成功报错。

同时,可以利用using爆其他字段

1

select name from test where id=1`and(select from (select from test as` `a join testasb using(id)) `as c);

png;base64,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

表名

=====

翻阅mysql的文档发现了一个非常好玩的函数

Polygon从多个LineString或WKB LineString参数 构造一个值 。如果任何参数不表示LinearRing(也就是说,不是一个封闭和简单的LineString),返回值就是NULL

如果传参不是linestring的话,就会爆错,而当如果我们传入的是存在的字段的话,就会爆出已知库、表、列。

png;base64,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

库名

上面的方法已经可以爆出库名了,但是如果我无限限制payload长度又如何? 比如 四字节?

select * from users where uid =1-a();

png;base64,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

库名成功出来了,原理:一个库中存在不同的系统或自定义函数,如果函数不存在,他就会爆出这个库没有此函数。

计算智能
关注
详解MySQL information_schema数据库常用的表信息以及各表对应的字段信息;以及如何登录mysql和创建视图
念兮为美
07-20 4818
详解MySQL information_schema数据库常用的表信息以及各表对应的字段信息;以及如何登录mysql和创建视图。我们常用的information_schema数据库中的表,比如TABLES,SCHEMATA,COLUMNS,CHARACTER_SETS,KEY_COLUMN_USAGE等,这些在我们的开发中非常重要,值的学习和研究。...
mysql注入ctf_CTF考点总结-sql注入
weixin_36488760的博客
01-28 1148
整理下sql相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码当前用户:select user()数据库版本:select version() , select @@versi...
mysql报错注入_mysql注入报错爆表名字段名库名
weixin_33274728的博客
01-13 705
已知某个地方有注入,waf拦截了information_schema、columns、tables、database、schema等关键字或函数,我们如何去获取当前表名字段名库名呢?字段名常见的做法有利用union搭配别名子查询,在不知道字段的候进行注入。例如:select*fromtestwhereid=1unionselect(selecte.4from(sele...
mysql 爆表名_CTFHub-技能树-SQL注入
weixin_39968436的博客
01-31 789
整数型注入不需考虑任何过滤,由于始终只返回第一行的信息,所以使用LIMIT来查看其他行的返回。常规注入流程:数据库名->爆表名->字段名->使用union select获得想要知道的对应字段的内容。数据库名1 union select database(),1 limit 1,2数据库为sqli爆表名通过更改limit的值得到sqli数据库中可能藏有flag的表名1 uni...
mysql注入爆表_Mysql手工注入
weixin_33548183的博客
02-08 353
整理一下手工注入笔记,以sqli-labs环境为例。1.Mysql手工union联合查询注入输入单引号,页面报错。根据报错信息显示,这是个字符型的注入,后台的查询应该是select xxx from xxx where id='1'。下一步,我们用order by 来列。(ORDER BY 语句用于对结果集进行排序。)当order by 为3,有数据返回,为4报错,说明有3行数据。然后,我们...
mysql注入语句 爆表_mysql注入语句
weixin_42361635的博客
02-04 875
一、sql注入语句破所有数据库:(select group_concat(schema_name) from information_schema.schemata)获取数据库所有表:(select group_concat(table_name) from information_schema.tables where table_schema='mysql')获取所有列名:(select ...
mysql 注入 爆表_墨者学院 – SQL注入实战-MySQLWriteup
weixin_34847099的博客
02-01 234
两种解法一、利用sqlmap及其tamper模块base64encode使用1. 看到id后面的参数可能是base64加密后的结果,我们尝试解密,解密结果为12.查看当前的系统信息sqlmap -u "http://219.153.49.228:43371/show.php?id=MQo=" --tamper=base64encode3.暴库sqlmap -u "http://219.153.49...
ASP获取数据库表名库名字段名的方法
01-01
ASP获取数据库表名字段名 以SQLServer为例: 代码如下: < %  SET Conn=Server.CreateObject(“ADODB.Connection”)  Conn.Open “Server=IP地址;Provider=sqloledb;Database=库名称;UID=用户名;PWD=密码;”...
mysql注入获取数据表_SQL注入获取指定数据库数据Mysql(基础篇)
weixin_39750190的博客
01-25 3033
前言> 我们知道,在我们进行某网站sql注入候,我们有候只可以进行简单的 union select user(),version(),@@basedir() #> 这类简单的查询,想要获得管理员用户密码或者敏感信息的候就很难搞,因为我们不知道他的数据库表的名字以及字段名字,这篇文章就是介绍一下如果利用Mysql数据库自带的information_schema数据库获取其他数据库...
mysql导出表的字段和相关属性的步骤方法
12-16
MySQL数据库管理中,有我们需要将表的结构信息导出,包括字段名、数据类型、长度、是否可为空、默认值以及备注等属性,以便于文档化或迁移数据。以下是一个详细步骤,指导如何完成这一任务: 1. **确定目标...
mysql注入在可报错出数据库名字段名
qq_61955196的博客
04-21 525
mysql报错出数据库名表名
mysql爆表_Mysql 通过 information_schema 库,爆表字段
weixin_42168230的博客
01-28 227
MySQL 版本大于 5.0 ,有个默认数据库 information_schema,里面存放着所有数据库的信息 (比如表名、 列名、对应权限等),通过这个数据库,我们就可以跨库查询,爆表列。若要从这些视图中检索信息,请指定完全合格的 INFORMATION_SCHEMAview_name名称。列名数据类型描述TABLE_CATALOGnvarchar(128)表限定符。TABLE_SCHEM...
关于sql注入暴库爆表字段
weixin_48421613的博客
07-21 3876
首先先介绍一下数据库默认库information_schema中的一些重要表 information中有三个重要的表,我们可以通过这些表得道自己想要的库名字、表名字、字段名字 1)information_schema.schemata schemata 表中重要字段为 schema_name ,此字段中涵盖数据库存在的所有的库名字,我们可以通过一些查询语句得知我们想要的数据库都有哪些(database()只可以得知当前数据库我们就不进行讨论了) 例: ?id=-1 union select 1,
mysql注入 库_mysql报错注入
weixin_29570673的博客
01-19 487
1、报错注入攻击payload语法由于后台没有对数据库的报错信息做过滤,会输入到前台显示,那么我们可以利用制造报错函数(常用的几个函数updatexml(),extractvalue(),floor())进行渗透。报错注入流程:1、判断是否存在注入点2、构造错误的语法制造报错3、使用提示报错信息输出内容。updatexml()函数:xml可扩展标记语言,update()更新函数updatexml(...
MySQL暴错注入方法整理
weixin_34250434的博客
10-01 69
1、通过floor暴错/*数据库版本*/http://www.waitalone.cn/sql.php?id=1+and(select 1 from(select count(*),concat((select (select (select concat(0x7e,version(),0x7e))) from information_schema.tables limi...
mysql获取当前数据库的所有表名
qq_41948525的博客
10-09 1757
以下sql语句便可实现 SELECT table_name, table_comment, create_time, update_time FROM information_schema.TABLES WHERE table_schema = ( SELECT DATABASE ( ) )
SQL注入之路之三:报错注入
最新发布
weixin_62715196的博客
08-10 508
主要简述什么是报错注入报错注入常用函数,报错注入原理以及如何使用注入获取用户敏感信息
sql注入报错注入
qq_42307546的博客
01-05 1597
数据库在执行使用了错误的语法,会显示报错信息,在有注入的情况下使用报错注入可以帮助我们把数据库的信息显示出来 可以看到这里使用了mysqli_error()函数,如果数据库语法出错这个函数会将错误信息的结果返回,我们尝试在输入框中输入一个单引号页面出现错误信息说明可以利用报错注入 通过报错注入快速得出库名 1’ union select fllo()#### 这里的原理是通过使用一个不存在的函数来报错得出数据库名 可以看出当前的数据库名为dvwa 通过报错注入获取数据库信息流程首先需要查出表名在得出
SQL注入5-6(报错注入)
m0_59082970的博客
03-27 4240
目录 一.判断闭合方式 二.库名 三.爆表名 四.列名 五.字段 一.判断闭合方式 Less-5/?id=1\ 二.库名 Less-5/?id=1' and extractvalue(1,concat(0x7e,databse(),0x7e))--+ 三.爆表名 Less-5/?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from informatio...
MySQL数据库设计命名全面指南:字符、表名与字段规则
- 外键名称遵循格式"FK_表名A_表名B_关联字段名",如"FK_user_token_user_phnum"。 - 对于长表名和关联字段,同样采取缩写策略。 6. 字段类型规范: - 选择最小足够的数据类型存储数据,例如使用int而不是char或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值