實(shí)驗(yàn)內(nèi)容與步驟
? ? ? 在MySQL數(shù)據(jù)庫的注入中,如果你有仔細(xì)看過SQL注入語句的話,你可能就會發(fā)現(xiàn),在獲取數(shù)據(jù)庫名、表名和字段的時(shí)候,注入語句中information_schema這個(gè)數(shù)據(jù)庫出現(xiàn)得很頻繁,那么有沒有想過為什么會需要用到這個(gè)數(shù)據(jù)庫呢? 這個(gè)數(shù)據(jù)庫又是什么?它里面保存了什么?
?? ?? information_schema數(shù)據(jù)庫是MySQL自帶的,MySQL 5以下沒有這個(gè)數(shù)據(jù)庫,它提供了訪問數(shù)據(jù)庫元數(shù)據(jù)的方式。什么是元數(shù)據(jù)呢?元數(shù)據(jù)是關(guān)于數(shù)據(jù)的數(shù)據(jù),如數(shù)據(jù)庫名或表名,列的數(shù)據(jù)類型,或訪問權(quán)限等。也就是說information_schema中保存著關(guān)于MySQL服務(wù)器所維護(hù)的所有其他數(shù)據(jù)庫的信息。如數(shù)據(jù)庫名,數(shù)據(jù)庫的表,表欄的數(shù)據(jù)類型與訪問權(quán)限等。在INFORMATION_SCHEMA中,有數(shù)個(gè)只讀表。
????? 在phpmyadmin中,在左側(cè)點(diǎn)擊information_schema數(shù)據(jù)庫。展開后如下圖,顯示了該數(shù)據(jù)庫中的所有表,由于表數(shù)量太多,只截了一部分,可以拉動(dòng)右邊的滾動(dòng)條查看所有表。
也可以執(zhí)行如下SQL語句來查看該庫中的所有表:
?? ???show tables;
?
?
?
?需要注意的是,要在information_schema這個(gè)數(shù)據(jù)庫中執(zhí)行該SQL語句。如何進(jìn)入information_schema數(shù)據(jù)庫執(zhí)行SQL語句,請參考前面進(jìn)入sqli數(shù)據(jù)庫執(zhí)行SQL語句的步驟。
????? 這上面顯示的表,它們實(shí)際上是視圖,而不是基本表,所以你在數(shù)據(jù)庫的數(shù)據(jù)保存目錄,會看不到這個(gè)數(shù)據(jù)庫的實(shí)體文件。數(shù)據(jù)庫的數(shù)據(jù)保存在 C:wampinmysqlmysql5.6.17data 目錄,在這個(gè)目錄下一共有如下4個(gè)目錄:
?
?
? ?想要查看數(shù)據(jù)庫的數(shù)據(jù)保存目錄,可以執(zhí)行select @@datadir,如下圖:
?
?
? ? ? 每一個(gè)目錄對應(yīng)數(shù)據(jù)庫中的一個(gè)數(shù)據(jù)庫,在數(shù)據(jù)庫中執(zhí)行show databases;的時(shí)候,可以看到存在5個(gè)數(shù)據(jù)庫,正是少了information_schema這個(gè)數(shù)據(jù)庫。
?
?
在SQL注入中,我們重點(diǎn)關(guān)注的表有如下幾個(gè),因?yàn)橹饕臅r(shí)候主要利用這幾個(gè)表來獲取數(shù)據(jù):
? ? ? SCHEMATA:提供了當(dāng)前mysql數(shù)據(jù)庫中所有數(shù)據(jù)庫的信息,其中SCHEMA_NAME字段保存了所有的數(shù)據(jù)庫名。show databases的結(jié)果取自此表。
????? TABLES:提供了關(guān)于數(shù)據(jù)庫中的表的信息,詳細(xì)表述了某個(gè)表屬于哪個(gè)schema,表類型,表引擎,創(chuàng)建時(shí)間等信息,其中table_name字段保存了所有列名信息,show tables from schemaname的結(jié)果取自此表。
?? ?? COLUMNS:提供了表中的列信息。詳細(xì)表述了某張表的所有列以及每個(gè)列的信息,其中column_name保存了所有的字段信息。show columns from schemaname.tablename的結(jié)果取自此表。
? ? ? 為了更好地說明這些表的作用,我們進(jìn)入mysql終端。
? ? ? 點(diǎn)擊右下角的wampserver圖標(biāo),如果沒有該圖標(biāo),可以雙擊桌面的WampServer運(yùn)行。? ? 然后在彈出來的列表中點(diǎn)擊MySQL,再選擇MySQL控制臺。
?
?
? ?會彈出一個(gè)命令行窗口,這就是mysql客戶端,此時(shí)要求輸入密碼,由于root的密碼為空,直接回車即可。
?
?
??進(jìn)入information_schema 數(shù)據(jù)庫,命令為:use information_schema;?。一定要注意后面記得加分號,分號表示一個(gè)語句結(jié)束,如果沒有檢測到你輸入分號,它會認(rèn)為你一個(gè)語句還沒結(jié)束,直到碰到分號后,才開始執(zhí)行語句。
?
?? ?首先執(zhí)行show databases;查看所有的數(shù)據(jù)庫,然后再執(zhí)行select schema_name from schemata;。
?
?
? 可以看到他們的作用是一樣的,都是列出所有數(shù)據(jù)庫,跟我們前面說的一樣,SCHEMA_NAME字段保存了所有的數(shù)據(jù)庫名。
? ? ? 所以,在注入中,我們可以通過注入select schema_name from schemata 來查詢的當(dāng)前數(shù)據(jù)庫中所有的數(shù)據(jù)庫名,如果你去查看一些爆數(shù)據(jù)庫名的注入語句,就會發(fā)現(xiàn)里面包含這么一句:select schema_name from information_schema.schemata limit 0,1,其原理就是通過查詢information_schema.schemata中schema_name的結(jié)果,其中l(wèi)imit 0,1用來獲取第一條記錄,通過遞增第一個(gè)參數(shù),可以每次獲取一條記錄,也就是一次獲取一個(gè)數(shù)據(jù)庫名,直到出現(xiàn)錯(cuò)誤為止,說明沒有更多的錯(cuò)誤。
? ? ? 通常在獲取了數(shù)據(jù)庫名后,就會選擇感興趣的數(shù)據(jù)庫,然后來獲取其中的數(shù)據(jù),首先需要獲取感興趣的數(shù)據(jù)庫中的所有表名,通過查詢information_schema庫中的TABLES表就可以獲取表名。
?? ?? 在TABLES表中,它保存了所有數(shù)據(jù)庫中的所有表名以及這個(gè)表所屬的庫,意思是說,不管你在哪個(gè)數(shù)據(jù)庫中的表,在這里都會有一條記錄對應(yīng),如果你在一個(gè)數(shù)據(jù)庫中創(chuàng)建了一個(gè)表,相應(yīng)地在這個(gè)表里,也會有一條記錄對應(yīng)你創(chuàng)建的那個(gè)表。
? ? ? desc 可以用來看表結(jié)構(gòu)??聪聇ables的表結(jié)構(gòu),執(zhí)行desc tables;,結(jié)果如下圖:
?
?注意上圖中標(biāo)記的那2條記錄,每一條記錄中,他們分別記錄一個(gè)表名和一個(gè)這個(gè)表所屬的庫名。其中TABLE_NAME保存的是表名,而TABLE_SCHEMA保存的是這個(gè)表名所在的數(shù)據(jù)庫。我們可以查詢一條記錄看看,在查詢前,先看看有多少條記錄,避免記錄太多查看不方便,執(zhí)行select count(*) from tables;?結(jié)果如下圖:
?
??說明當(dāng)前所有數(shù)據(jù)庫中的表數(shù)量為142。查詢?nèi)我庖粭l記錄查看,我這里選擇最后一條記錄,SQL語句為:select * from tables limit 141,1G由于在客戶端中,默認(rèn)查詢結(jié)果顯示不友好,所以,可以把語句后面的分號改成G,他會讓一條記錄顯示一行,看起來不那么亂。G只支持在客戶端中用,在其他連接數(shù)據(jù)庫的軟件中,使用G會報(bào)錯(cuò)。
?
?? ? ?可以看到,最后一條記錄的TABLE_NAME是user,TABLE_SCHEMA為sqli。查看sqli數(shù)據(jù)庫中的表,SQL語句為:show tables from sqli;可以看到確實(shí)存在user表。
?
? ?既然information_schema的TABLES表中的TABLE_SCHEMTA字段是保存的數(shù)據(jù)庫名,而TABLE_NAME保存了表名,那么我們就可以使用TABLE_SCHEMTA字段作為查詢條件,查詢TABLE_NAME,即可得知所有指定數(shù)據(jù)庫中的所有表名。比如,我們想要通過information_schema數(shù)據(jù)庫來查詢sqli數(shù)據(jù)庫中所有的表,那么就可以使用如下SQL語句:
? ? ??select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA = 'sqli';
?? ?? 如果當(dāng)前庫為information_schema,則可以省略不寫,否則跨庫查詢的時(shí)候,需要帶上庫名。結(jié)果如下圖:
?
? 通過修改TABLE_SCHEMA 的限制,可以查詢?nèi)我鈹?shù)據(jù)庫中的所有表名,網(wǎng)上的通過注入爆表名便是這個(gè)原理。
?? ?? 知道了表名,那么如何獲取表中的字段呢?要知道我們沒有表名的話,會把所有的數(shù)據(jù)查詢出來,而如果注入沒有回顯,不能進(jìn)行union查詢,那么想要獲取我們的標(biāo)目數(shù)據(jù),無疑效率極低。
????? 幸運(yùn)的是,在information_schema數(shù)據(jù)庫中,同樣存在一個(gè)表,它保存了整個(gè)數(shù)據(jù)中,所有的列名,這個(gè)表就是COLUMNS。同樣先查看該表結(jié)構(gòu)。
?
???? 這里面,與注入相關(guān)的存在3個(gè)字段,分別是TABLE_SCHEMA、TABLE_NAME以及COLUMN_NAME,不難猜到,如果在該表中查詢一條記錄,TABLE_SCHEMA保存了這條記錄保存的字段所屬的數(shù)據(jù)庫名,而TABLE_NAME保存的是該字段所屬表名,COLUMN_NAME則是一個(gè)列名記錄,查詢一條記錄驗(yàn)證一下,首先確定該表有多少條記錄,執(zhí)行select count(*) from columns;,得知一共有1662條記錄,結(jié)果如下圖:
?
??我們獲取最后一條記錄,執(zhí)行select * from columns limit 1661,1G
?
?
?? ? 其中COLUMNS_NAME為ip,TABLE_NAME為user,TABLE_SCHEMA為sqli,這說明,在sqli這個(gè)數(shù)據(jù)中,user表存在一個(gè)ip的列,也就是我們常說的ip字段。
? ? ? 查看sqli的user表是否存在該字段,執(zhí)行SQL語句:show columns from sqli.user;
?
? ?可以看到確實(shí)存在該字段。
? ? ? 既然在columns中,TABLE_NAME保存了字段所屬的表名,TABLE_SCHEMA保存了該字段所屬的庫名,與通過TABLES表獲取表名一樣,我們就可以查詢把TABLE_NAME 和TABLE_SCHEMA做為查詢條件,查詢符合條件的COLUMN_NAME,也就是查詢指定數(shù)據(jù)庫中某表中的字段。
?? ?? 比如,我們要通過information_schema數(shù)據(jù)庫的columns表查詢sqli數(shù)據(jù)庫中user表中所有的字段,可以執(zhí)行如下SQL語句:
? ? ??select column_name from information_schema.columns where TABLE_SCHEMA='sqli' and TABLE_NAME='user';
?
? ? ?查詢結(jié)果與show columns from sqli.user;?一致。
? ? ? 知道了庫名、表名、字段,如果有回顯且支持聯(lián)合查詢,就可以直接通過在注入點(diǎn)后面注入一個(gè)聯(lián)合查詢語句,即可直接獲取數(shù)據(jù),如果不能回顯,則可能需要通過盲注獲取數(shù)據(jù),可以參考MySQL盲注實(shí)驗(yàn)。
?
?
?分析與思考:為什么網(wǎng)上的SQL注入語句中,數(shù)據(jù)庫名都是用的字符的16進(jìn)制值?
在處理SQL注入時(shí),通常對完整的ASCII范圍不感興趣,因?yàn)椴⒎撬凶址跀?shù)據(jù)庫中都是有效的或允許的。出于這個(gè)原因,我們只關(guān)注ASCII范圍32?–?126,它給我們留下了一組94個(gè)字符。該范圍只能用7位表示,最高有效位為0。
?
?
?
?
?
?
?
本文摘自 :https://www.cnblogs.com/