SQL注入中information_schema的作用
2021-10-22 10:10:31

?在MySQL數(shù)據(jù)庫(kù)的注入中，如果你有仔細(xì)看過SQL注入語(yǔ)句的話，你可能就會(huì)發(fā)現(xiàn)，在獲取數(shù)據(jù)庫(kù)名、表名和字段的時(shí)候，注入語(yǔ)句中information_schema這個(gè)數(shù)據(jù)庫(kù)出現(xiàn)得很頻繁，那么有沒有想過為什么會(huì)需要用到這個(gè)數(shù)據(jù)庫(kù)呢？ 這個(gè)數(shù)據(jù)庫(kù)又是什么？它里面保存了什么？

?? ?? information_schema數(shù)據(jù)庫(kù)是MySQL自帶的，MySQL 5以下沒有這個(gè)數(shù)據(jù)庫(kù)，它提供了訪問數(shù)據(jù)庫(kù)元數(shù)據(jù)的方式。什么是元數(shù)據(jù)呢？元數(shù)據(jù)是關(guān)于數(shù)據(jù)的數(shù)據(jù)，如數(shù)據(jù)庫(kù)名或表名，列的數(shù)據(jù)類型，或訪問權(quán)限等。也就是說information_schema中保存著關(guān)于MySQL服務(wù)器所維護(hù)的所有其他數(shù)據(jù)庫(kù)的信息。如數(shù)據(jù)庫(kù)名，數(shù)據(jù)庫(kù)的表，表欄的數(shù)據(jù)類型與訪問權(quán)限等。在INFORMATION_SCHEMA中，有數(shù)個(gè)只讀表。

????? 在phpmyadmin中，在左側(cè)點(diǎn)擊information_schema數(shù)據(jù)庫(kù)。

?

?

?顯示了該數(shù)據(jù)庫(kù)中的所有表，由于表數(shù)量太多，只截了一部分，可以拉動(dòng)右邊的滾動(dòng)條查看所有表。

?

也可以執(zhí)行如下SQL語(yǔ)句來(lái)查看該庫(kù)中的所有表：

?? ???show tables;

需要注意的是，要在information_schema這個(gè)數(shù)據(jù)庫(kù)中執(zhí)行該SQL語(yǔ)句。如何進(jìn)入information_schema數(shù)據(jù)庫(kù)執(zhí)行SQL語(yǔ)句，請(qǐng)參考前面進(jìn)入sqli數(shù)據(jù)庫(kù)執(zhí)行SQL語(yǔ)句的步驟。

????? 這上面顯示的表，它們實(shí)際上是視圖，而不是基本表，所以你在數(shù)據(jù)庫(kù)的數(shù)據(jù)保存目錄，會(huì)看不到這個(gè)數(shù)據(jù)庫(kù)的實(shí)體文件。數(shù)據(jù)庫(kù)的數(shù)據(jù)保存在 C:wampinmysqlmysql5.6.17data 目錄，在這個(gè)目錄下一共有如下4個(gè)目錄：

?

?

?想要查看數(shù)據(jù)庫(kù)的數(shù)據(jù)保存目錄，可以執(zhí)行select @@datadir

?

??每一個(gè)目錄對(duì)應(yīng)數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)庫(kù)，在數(shù)據(jù)庫(kù)中執(zhí)行show databases;的時(shí)候，可以看到存在5個(gè)數(shù)據(jù)庫(kù)，正是少了information_schema這個(gè)數(shù)據(jù)庫(kù)。

?

??然后在彈出來(lái)的列表中點(diǎn)擊MySQL，再選擇MySQL控制臺(tái)。?會(huì)彈出一個(gè)命令行窗口，這就是mysql客戶端，此時(shí)要求輸入密碼，由于root的密碼為空，直接回車即可

?

??進(jìn)入information_schema 數(shù)據(jù)庫(kù)，命令為：use information_schema;?。一定要注意后面記得加分號(hào)，分號(hào)表示一個(gè)語(yǔ)句結(jié)束，如果沒有檢測(cè)到你輸入分號(hào)，它會(huì)認(rèn)為你一個(gè)語(yǔ)句還沒結(jié)束，直到碰到分號(hào)后，才開始執(zhí)行語(yǔ)句。

?

?首先執(zhí)行show databases;查看所有的數(shù)據(jù)庫(kù)，然后再執(zhí)行select schema_name from schemata;。

?

?desc 可以用來(lái)看表結(jié)構(gòu)?？聪聇ables的表結(jié)構(gòu)，執(zhí)行desc tables;

?

?注意上圖中標(biāo)記的那2條記錄，每一條記錄中，他們分別記錄一個(gè)表名和一個(gè)這個(gè)表所屬的庫(kù)名。其中TABLE_NAME保存的是表名，而TABLE_SCHEMA保存的是這個(gè)表名所在的數(shù)據(jù)庫(kù)。我們可以查詢一條記錄看看，在查詢前，先看看有多少條記錄，避免記錄太多查看不方便，執(zhí)行select count(*) from tables;?

?

?說明當(dāng)前所有數(shù)據(jù)庫(kù)中的表數(shù)量為142。查詢?nèi)我庖粭l記錄查看，我這里選擇最后一條記錄，SQL語(yǔ)句為：select * from tables limit 141,1G由于在客戶端中，默認(rèn)查詢結(jié)果顯示不友好，所以，可以把語(yǔ)句后面的分號(hào)改成G，他會(huì)讓一條記錄顯示一行，看起來(lái)不那么亂。G只支持在客戶端中用，在其他連接數(shù)據(jù)庫(kù)的軟件中，使用G會(huì)報(bào)錯(cuò)。

?

??可以看到，最后一條記錄的TABLE_NAME是user，TABLE_SCHEMA為sqli。查看sqli數(shù)據(jù)庫(kù)中的表，SQL語(yǔ)句為：show tables from sqli;可以看到確實(shí)存在user表。

??? 既然information_schema的TABLES表中的TABLE_SCHEMTA字段是保存的數(shù)據(jù)庫(kù)名，而TABLE_NAME保存了表名，那么我們就可以使用TABLE_SCHEMTA字段作為查詢條件，查詢TABLE_NAME，即可得知所有指定數(shù)據(jù)庫(kù)中的所有表名。比如，我們想要通過information_schema數(shù)據(jù)庫(kù)來(lái)查詢sqli數(shù)據(jù)庫(kù)中所有的表，那么就可以使用如下SQL語(yǔ)句：

? ? ??select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA = 'sqli';

?? ?? 如果當(dāng)前庫(kù)為information_schema，則可以省略不寫，否則跨庫(kù)查詢的時(shí)候，需要帶上庫(kù)名。

? 通過修改TABLE_SCHEMA 的限制，可以查詢?nèi)我鈹?shù)據(jù)庫(kù)中的所有表名，網(wǎng)上的通過注入爆表名便是這個(gè)原理。

?? ?? 知道了表名，那么如何獲取表中的字段呢？要知道我們沒有表名的話，會(huì)把所有的數(shù)據(jù)查詢出來(lái)，而如果注入沒有回顯，不能進(jìn)行union查詢，那么想要獲取我們的標(biāo)目數(shù)據(jù)，無(wú)疑效率極低。

????? 幸運(yùn)的是，在information_schema數(shù)據(jù)庫(kù)中，同樣存在一個(gè)表，它保存了整個(gè)數(shù)據(jù)中，所有的列名，這個(gè)表就是COLUMNS。同樣先查看該表結(jié)構(gòu)。

?

?

?這里面，與注入相關(guān)的存在3個(gè)字段，分別是TABLE_SCHEMA、TABLE_NAME以及COLUMN_NAME，不難猜到，如果在該表中查詢一條記錄，TABLE_SCHEMA保存了這條記錄保存的字段所屬的數(shù)據(jù)庫(kù)名，而TABLE_NAME保存的是該字段所屬表名，COLUMN_NAME則是一個(gè)列名記錄，查詢一條記錄驗(yàn)證一下，首先確定該表有多少條記錄，執(zhí)行select count(*) from columns;，得知一共有1662條記錄

?

??? 我們獲取最后一條記錄，執(zhí)行select * from columns limit 1661,1G

其中COLUMNS_NAME為ip，TABLE_NAME為user，TABLE_SCHEMA為sqli，這說明，在sqli這個(gè)數(shù)據(jù)中，user表存在一個(gè)ip的列，也就是我們常說的ip字段。

? ? ? 查看sqli的user表是否存在該字段，執(zhí)行SQL語(yǔ)句：show columns from sqli.user;

我們要通過information_schema數(shù)據(jù)庫(kù)的columns表查詢sqli數(shù)據(jù)庫(kù)中user表中所有的字段，可以執(zhí)行如下SQL語(yǔ)句：

? ? ??select column_name from information_schema.columns where TABLE_SCHEMA='sqli' and TABLE_NAME='user';

?

?

?

?

?

?

?

?查詢結(jié)果與show columns from sqli.user;?一致。

為什么網(wǎng)上的SQL注入語(yǔ)句中，數(shù)據(jù)庫(kù)名都是用的字符的16進(jìn)制值？

hex()：將目標(biāo)字符串裝換成16進(jìn)制格式的數(shù)據(jù)
select hex(“dvwa”)
返回結(jié)果：70696B61636875
unhex()：將16進(jìn)制格式的數(shù)據(jù)裝換成原字符串
語(yǔ)句：unhex(64767761)
解釋：返回結(jié)果：dvwa

left()/right() ：從規(guī)定字符串的左邊/右邊開始截取字符串
LEFT(s,n) 、RIGHT(s,n)
從字符串s左/右邊開始截取n位字符串

?

?