N10-sql注入(information_schema注入)

最新推荐文章于 2023-06-10 15:04:37 发布
最新推荐文章于 2023-06-10 15:04:37 发布
阅读量1.5k 收藏
点赞数
分类专栏: Pikachu 文章标签: Web安全 渗透测试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40684306/article/details/88943547
版权

同样采用union的联合语句,去查询数据库默认创建的Information_schema的数据库,这个数据库是记录数据库所有参数数据的。所以,我们可以尝试使用字符型注入的闭合语句去查询。
首先输入一个’,发现返回的是错误语句,说明我们输入的内容是拼接到数据库里的。
在这里插入图片描述
然后重复字符型和union章节的操作,我们可以查询到很多关于网站数据库的信息,包括数据库名等。
然后我来看这条
例句:
SELECT id,email from member where username =‘kobe’ union select table_schema,table_name from information_schema.tables where table_schema=‘pikachu’;(pikachu为我们之前查询到的表名)。
测试语句:kobe’ union select table_schema,table_name from information_schema.tables where table_schema=‘pikachu’#
这个就可以查询到数据库后台的数据了。
返回的结果是这样子:
在这里插入图片描述
这样,一次information_schema注入就完成了

尐猴子君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入information_schema的作用
weixin_54992237的博客
11-13 1276
实验步骤 information_schema数据库是MySQL自带的,MySQL 5以下没有这个数据库,它提供了访问数据库元数据的方式。什么是元数据呢?元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。也就是说information_schema中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。在INFORMATION_SCHEMA中,有数个只读表。 在phpmyadmin中,在左侧点击inform...
SQL注入各种注入原理|绕过技巧|带实例详解|
BING
03-19 7812
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击、SQL注入绕过技术、sql注入修复建议
sql注入绕过技术
qq_75005708的博客
04-27 282
在使用盲注的时候,会使用到​ substr 、substring() 、mid() 、limit​ 等函数。当我们访问id=1 and 1=1时,如果页面返回no hack,说明我们输入的关键字被过滤了,我们先尝试大小写绕过,如果我们换成id=1 And 1=1页面给返回正常。id=1 and 1=1 经过转换之后就会变成 id=1 /*and*/ 1=1,后面注入的过程和union一致。5.其它(空格过滤,逗号过滤,过滤了比较符,过滤了 or and xor not​ #,过滤了=,单引号过滤)
SQL注入绕过技巧
最新发布
2301_77160226的博客
06-10 3431
SQL注入绕过技巧
SQL注入如何绕过WAF】
qq_55213436的博客
07-15 1380
不知道各位在平时的sql注入漏洞挖掘的过程中是否经常会遇到这样那样版本的安全狗,虽然说安全狗十分的可恶。今天就分享几种常见的安全狗绕过方法,亲测有效。特别是最后两种方法,100%绕过最新版本的安全狗。.........
SQL注入-----数据库information_schema
Red Rapefruit
02-17 1094
SQL注入information_schema的作用 information_schema数据库是MySQL自带的,MySQL 5以下没有这个数据库,它提供了访问数据库元数据的方式.什么是元数据呢?元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等.也就是说information_schema中保存着关于MySQL服务器所维护的所有其他数据库的信息.如数据库名,数据库的表,表栏的数据类型与访问权限等.在INFORMATION_SCHEMA中,有数个只读表. 在SQL注入中,我们重点关注的
-------已搬运------SQL注入的 过滤 思路 payload 万能密码
Zero_Adam的博客
04-28 1576
目录:一、过滤关键词:1. 过滤 `=` 可用 `like`,`regexp`,`in`来代替:2. 过滤`ascii`,不能用bool盲注了。可用`ord`来代替:3. `,`逗号被过滤了:1. `substr(***,1,1)` 用这个来代替:`substr(***from({})for(1))`2.`limit 0,1` 用这个来代替:`limit 1 offset {}`二、一些小trick1. 关于bool盲注的正确与否三、一些payload:1. 过滤了 空格,但是可以联合查询的bool注
SQL注入以及部分绕过方法详解
时乙的博客
09-23 1512
数据库知识补充 1.information_schema数据库 其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。在information_schema 中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。 2.information_schema.schemata表 提供了当前mysql实例中所有数据库的信息,其中需要用到的是 schema_name 这一列,存放的是各个数据库的名称 .
sql注入information_schema代替,无列名注入之[SWPU2019]Web11
qq_58970968的博客
08-10 898
的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出表名和列名。但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。但是mysql.innodb_table_stats只查到表名,所以不知道列名;information_schema可以查到所有的数据库和表名和列名;当or 被过滤时不能使用information_schema;这道题过滤了空格,用/**/绕过;...
SQL注入绕过安全
blackguest07的博客
01-12 2305
SQL注入绕过安全狗,内容很详细,本文仅供学习,请勿做一些非法事情,出事与博主无关。
information_schema数据库在SQL注入中的应用.docx
06-11
本文介绍了information_schema数据库的三张重要的表"schemata"、“tables”和“columns”在SQL注入中的应用思路。
渗透测试-地基篇-数据库-IFORMATION_SCHEMA 详解(五)
qq_34801745的博客
11-17 779
** 渗透测试-地基篇-数据库-IFORMATION_SCHEMA 详解(五) ** 作者:大余 时间:2020-11-17 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这
information_schema注入
北冥有鱼
03-30 4958
上一篇文章提到过,information_schema是mysql自带的一个表,这个表里存放了大量信息。 我们可以进去这个数据库简单的看一下 然后输入 show tables, 能看到这里面有很多的表,我们先来看一下tables这个表 可以发现这里面有很多的字段,这些字段包含了这个数据库的名称,这个数据库里的表的名称,表的类型,默认的引擎,版本等等。。这些东西,都会放到这个表里面 还有一...
学习SQL:INFORMATION_SCHEMA数据库
culuo4781的博客
07-18 872
The best way how to explain what the INFORMATION_SCHEMA database is would be – “This is the database about databases. It’s used to store details of other databases on the server”. What does that...
sql注入information_schema数据库)
qq_43814486的博客
03-31 2919
1.union语句 该语句可以使两个语句联合起来,但是该语句有一个前提,就是union后边跟的字段数必须要和前面对应,也就是说要知道前面的字段个数,然后对应上,这里可以用order by,错误的话会出现类似以下样子,说明没有第四字段。 这时候再试试三: 他就不会有报错,说明有三个字段,所以就可以用 union select 自己想要的东西了,比如user(),database(),versio...
mysql手工注入的详细解析和 information_schema表的作用
收集盒 Book box
11-20 2343
关于mysql手工注入的详细解析和information_schema表的作用。 基础文章, by whoami.  mysql 4.0以上支持union 4.1以上支持子查询 5.0以上有了系统表 --------------------------------------------------------------------------------------
mysql注入绕过information_schema过滤
b1ackc4t的博客
10-19 5722
1.利用mysql5.7新增的sys.schema_auto_increment_columns 这是sys数据库下的一个视图,基础数据来自与information_schema,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名 以下为该视图的所有列 2.sys.schema_table_statistics_with_buffer 这是sys数据库下的视图,里面存储着所有数据库所有表的统计信息 ...
sql注入总结
wuqiongrj的博客
07-22 7691
本实验测试是基于sqli-labs的实验环境 环境配置:php+mysql 环境搭建请参考 http://www.freebuf.com/articles/web/34619.html   Sql注入定义: 就是通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行的sql命令的目的   sql注入分类: 基于联
十分钟了结MySQL information_schema
weixin_30399155的博客
05-30 1818
information_schema数据库是MySQL系统自带的数据库,它提供了数据库元数据的访问方式。感觉information_schema就像是MySQL实例的一个百科全书,记录了数据库当中大部分我们需要了结的信息,比如字符集,权限相关,数据库实体对象信息,外检约束,分区,压缩表,表信息,索引信息,参数,优化,锁和事物等等。通过information_schema我们可以窥透整个MySQL实...
2018版CompTIA Network+ N10-007模拟试题指南
《CompTIA Network+ 实践测试:考试 N10-007》是由 Craig Zacker 编著的一本专为准备参加 CompTIA Network+ 认证考试 N10-007 的考生设计的练习题集。这本书是针对 CompTIA Network+ 专业认证的学习材料,该认证对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尐猴子君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值