手工注入常規(guī)思路
1.判斷是否存在注入,注入是字符型還是數(shù)字型
2.猜解 SQL 查詢語(yǔ)句中的字段數(shù)
3.確定顯示的字段順序
4.獲取當(dāng)前數(shù)據(jù)庫(kù)
5.獲取數(shù)據(jù)庫(kù)中的表
6.獲取表中的字段名
7.查詢到賬戶的數(shù)據(jù)
information_schema數(shù)據(jù)庫(kù)表說(shuō)明
SCHEMATA表:提供了當(dāng)前mysql實(shí)例中所有數(shù)據(jù)庫(kù)的信息�。是show databases的結(jié)果取之此表。
TABLES表:提供了關(guān)于數(shù)據(jù)庫(kù)中的表的信息(包括視圖)����。詳細(xì)表述了某個(gè)表屬于哪個(gè)schema,表類型,表引擎����,創(chuàng)建時(shí)間等信息。是show tables from schemaname的結(jié)果取之此表����。
COLUMNS表:提供了表中的列信息。詳細(xì)表述了某張表的所有列以及每個(gè)列的信息����。是show columns from schemaname.tablename的結(jié)果取之此表。
STATISTICS表:提供了關(guān)于表索引的信息���。是show index from schemaname.tablename的結(jié)果取之此表�。
USER_PRIVILEGES(用戶權(quán)限)表:給出了關(guān)于全程權(quán)限的信息�。該信息源自mysql.user授權(quán)表。是非標(biāo)準(zhǔn)表����。
SCHEMA_PRIVILEGES(方案權(quán)限)表:給出了關(guān)于方案(數(shù)據(jù)庫(kù))權(quán)限的信息。該信息來(lái)自mysql.db授權(quán)表�。是非標(biāo)準(zhǔn)表。
TABLE_PRIVILEGES(表權(quán)限)表:給出了關(guān)于表權(quán)限的信息���。該信息源自mysql.tables_priv授權(quán)表��。是非標(biāo)準(zhǔn)表��。
COLUMN_PRIVILEGES(列權(quán)限)表:給出了關(guān)于列權(quán)限的信息�。該信息源自mysql.columns_priv授權(quán)表。是非標(biāo)準(zhǔn)表����。
CHARACTER_SETS(字符集)表:提供了mysql實(shí)例可用字符集的信息���。是SHOW CHARACTER SET結(jié)果集取之此表����。
COLLATIONS表:提供了關(guān)于各字符集的對(duì)照信息��。
COLLATION_CHARACTER_SET_APPLICABILITY表:指明了可用于校對(duì)的字符集�。這些列等效于SHOW COLLATION的前兩個(gè)顯示字段。
TABLE_CONSTRAINTS表:描述了存在約束的表�����。以及表的約束類型��。
KEY_COLUMN_USAGE表:描述了具有約束的鍵列。
ROUTINES表:提供了關(guān)于存儲(chǔ)子程序(存儲(chǔ)程序和函數(shù))的信息�。此時(shí),ROUTINES表不包含自定義函數(shù)(UDF)��。名為“mysql.proc name”的列指明了對(duì)應(yīng)于INFORMATION_SCHEMA.ROUTINES表的mysql.proc表列�����。
VIEWS表:給出了關(guān)于數(shù)據(jù)庫(kù)中的視圖的信息�。需要有show views權(quán)限,否則無(wú)法查看視圖信息�����。
TRIGGERS表:提供了關(guān)于觸發(fā)程序的信息��。必須有super權(quán)限才能查看該表
MySQL GROUP_CONCAT()函數(shù)將組中的字符串連接成為具有各種選項(xiàng)的單個(gè)字符串���。
實(shí)驗(yàn)192.168.8.172/sql/
Less-1
GET - Error based - Single quotes - String(基于錯(cuò)誤的GET單引號(hào)字符型注入)
輸入id=1的正常頁(yè)面
數(shù)據(jù)庫(kù)的注釋用-- (這里有一個(gè)空格)��,但是在URL中最后加上-- ����,瀏覽器會(huì)把發(fā)送請(qǐng)求末尾的空格去掉�,所有我們用--+代替-- ��,因?yàn)?span lang="EN-US">+在URL被URL編碼后表示空格����。
先嘗試爆破數(shù)據(jù)庫(kù)名�����,將ID改為一個(gè)數(shù)據(jù)庫(kù)不存在的值���,使用union select1�,2��,3進(jìn)行聯(lián)合查詢查看是否有顯示位���。
頁(yè)面返回正常,因此該注入支持union聯(lián)合查詢注入��。
查詢有那些數(shù)據(jù)庫(kù)
http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),3%20--+
命令解釋:
schema_name 當(dāng)前數(shù)據(jù)庫(kù)
information_schema (數(shù)據(jù)詞典)是MySQL自帶的數(shù)據(jù)庫(kù)��,提供了訪問(wèn)數(shù)據(jù)庫(kù)元數(shù)據(jù)的方式(元數(shù)據(jù)是關(guān)于數(shù)據(jù)庫(kù)的數(shù)據(jù)����,如數(shù)據(jù)庫(kù)名或表名�,列的數(shù)據(jù)類型���,或訪問(wèn)權(quán)限等)
schemata (information_schema中的一個(gè)表):提供了當(dāng)前MySQL實(shí)例中所有數(shù)據(jù)庫(kù)的信息�����。
爆出了數(shù)據(jù)庫(kù)
我們查詢一下security數(shù)據(jù)庫(kù)有那些表
http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),(select group_concat(table_name)from information_schema.tables where table_schema='security')%20--+
這是手工注入的�����,用sqlmap的話可以快速掃描出來(lái)的�����。
|
