join-us — join-using 无列名查询
访问登录页面,看到一个cat u get flag 输入框 试试sql注入
有报错信息
![图片[1] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095459302-2016813817.png)
黑名单
by updatexml database union columns = substr![图片[2] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095451967-369493094.png)
爆数据库名
这里一步一步的测试过滤什么的时候,发现了 泄露了表的名称
在查询是 如果查询的列不存在 并且 没有关闭报错信息 可以查询一个不存在的列 这样会报错
![图片[3] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095442961-2008042505.png)
爆表名
方法一、brup爆破
这里忘记了考虑 过滤= like替换了 直接爆破 一般我们创建的表都是在最后的
![图片[4] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095424417-1103072677.png)
![图片[5] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095415726-2015053432.png)
方法二、like替换=
![图片[6] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095409417-1548552673.png)
join using 爆破列名
![图片[7] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095352159-1175434805.png)
查出来Fal_flag有以下三列
id
data
i_tell_u_this_is_Fal(se)_flag_is_in_another
1'or/**/extractvalue(1,concat(0x7e,(select * from(select * from Fal_flag a join Fal_flag b using(id,data,i_tell_u_this_is_Fal(se)_flag_is_in_another))c),0x7e))--+![图片[8] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095345903-1059009496.png)
ok 不在上面的表
![图片[9] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095340551-688304202.png)
![图片[10] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095336075-872445259.png)
![图片[11] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095330370-1068348272.png)
{3bfb0ba4-dac9-425a-9e0f-cf2672d7afdd}或者查data,结果都是一样的,配个mid 显示后面的
![图片[12] - NISACTF2022–join-us(join using 无列名注入) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img2022.cnblogs.com/blog/3008494/202210/3008494-20221030095321656-446321128.png)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
