手工注入常規(guī)思路

1.判斷是否存在注入，注入是字符型還是數(shù)字型

2.猜解 SQL 查詢語句中的字段數(shù)

3.確定顯示的字段順序

4.獲取當(dāng)前數(shù)據(jù)庫

5.獲取數(shù)據(jù)庫中的表

6.獲取表中的字段名

7.查詢到賬戶的數(shù)據(jù)

information_schema數(shù)據(jù)庫表說明

SCHEMATA表：提供了當(dāng)前mysql實(shí)例中所有數(shù)據(jù)庫的信息。是show databases的結(jié)果取之此表。

TABLES表：提供了關(guān)于數(shù)據(jù)庫中的表的信息（包括視圖）。詳細(xì)表述了某個表屬于哪個schema，表類型，表引擎，創(chuàng)建時(shí)間等信息。是show tables from schemaname的結(jié)果取之此表。

COLUMNS表：提供了表中的列信息。詳細(xì)表述了某張表的所有列以及每個列的信息。是show columns from schemaname.tablename的結(jié)果取之此表。

STATISTICS表：提供了關(guān)于表索引的信息。是show index from schemaname.tablename的結(jié)果取之此表。

USER_PRIVILEGES（用戶權(quán)限）表：給出了關(guān)于全程權(quán)限的信息。該信息源自mysql.user授權(quán)表。是非標(biāo)準(zhǔn)表。

SCHEMA_PRIVILEGES（方案權(quán)限）表：給出了關(guān)于方案（數(shù)據(jù)庫）權(quán)限的信息。該信息來自mysql.db授權(quán)表。是非標(biāo)準(zhǔn)表。

TABLE_PRIVILEGES（表權(quán)限）表：給出了關(guān)于表權(quán)限的信息。該信息源自mysql.tables_priv授權(quán)表。是非標(biāo)準(zhǔn)表。

COLUMN_PRIVILEGES（列權(quán)限）表：給出了關(guān)于列權(quán)限的信息。該信息源自mysql.columns_priv授權(quán)表。是非標(biāo)準(zhǔn)表。

CHARACTER_SETS（字符集）表：提供了mysql實(shí)例可用字符集的信息。是SHOW CHARACTER SET結(jié)果集取之此表。

COLLATIONS表：提供了關(guān)于各字符集的對照信息。

COLLATION_CHARACTER_SET_APPLICABILITY表：指明了可用于校對的字符集。這些列等效于SHOW COLLATION的前兩個顯示字段。

TABLE_CONSTRAINTS表：描述了存在約束的表。以及表的約束類型。

KEY_COLUMN_USAGE表：描述了具有約束的鍵列。

ROUTINES表：提供了關(guān)于存儲子程序（存儲程序和函數(shù)）的信息。此時(shí)，ROUTINES表不包含自定義函數(shù)（UDF）。名為“mysql.proc name”的列指明了對應(yīng)于INFORMATION_SCHEMA.ROUTINES表的mysql.proc表列。

VIEWS表：給出了關(guān)于數(shù)據(jù)庫中的視圖的信息。需要有show views權(quán)限，否則無法查看視圖信息。

TRIGGERS表：提供了關(guān)于觸發(fā)程序的信息。必須有super權(quán)限才能查看該表

MySQL GROUP_CONCAT()函數(shù)將組中的字符串連接成為具有各種選項(xiàng)的單個字符串。

實(shí)驗(yàn)192.168.8.172/sql/

Less-1

GET - Error based - Single quotes - String(基于錯誤的GET單引號字符型注入)

輸入id=1的正常頁面

 數(shù)據(jù)庫的注釋用-- （這里有一個空格），但是在URL中最后加上-- ，瀏覽器會把發(fā)送請求末尾的空格去掉，所有我們用--+代替-- ，因?yàn)?span lang="EN-US">+在URL被URL編碼后表示空格。

先嘗試爆破數(shù)據(jù)庫名，將ID改為一個數(shù)據(jù)庫不存在的值，使用union select1，2，3進(jìn)行聯(lián)合查詢查看是否有顯示位。

頁面返回正常，因此該注入支持union聯(lián)合查詢注入。

查詢有那些數(shù)據(jù)庫

 http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),3%20--+

命令解釋：

        schema_name 當(dāng)前數(shù)據(jù)庫

        information_schema （數(shù)據(jù)詞典）是MySQL自帶的數(shù)據(jù)庫，提供了訪問數(shù)據(jù)庫元數(shù)據(jù)的方式（元數(shù)據(jù)是關(guān)于數(shù)據(jù)庫的數(shù)據(jù)，如數(shù)據(jù)庫名或表名，列的數(shù)據(jù)類型，或訪問權(quán)限等）

        schemata （information_schema中的一個表）：提供了當(dāng)前MySQL實(shí)例中所有數(shù)據(jù)庫的信息。

爆出了數(shù)據(jù)庫

我們查詢一下security數(shù)據(jù)庫有那些表

http://127.0.0.1/sql/sqli-labs-master/Less-1/?id=qswz%27%20union%20select%201,(select%20group_concat(schema_name)from%20information_schema.schemata),(select group_concat(table_name)from  information_schema.tables where table_schema='security')%20--+

 這是手工注入的，用sqlmap的話可以快速掃描出來的。