N10-sql注入(information_schema注入)
本文共 531 字,大约阅读时间需要 1 分钟。
同样采用union的联合语句,去查询数据库默认创建的Information_schema的数据库,这个数据库是记录数据库所有参数数据的。所以,我们可以尝试使用字符型注入的闭合语句去查询。
首先输入一个’,发现返回的是错误语句,说明我们输入的内容是拼接到数据库里的。
然后重复字符型和union章节的操作,我们可以查询到很多关于网站数据库的信息,包括数据库名等。 然后我来看这条 例句: SELECT id,email from member where username =‘kobe’ union select table_schema,table_name from information_schema.tables where table_schema=‘pikachu’;(pikachu为我们之前查询到的表名)。 测试语句:kobe’ union select table_schema,table_name from information_schema.tables where table_schema=‘pikachu’# 这个就可以查询到数据库后台的数据了。 返回的结果是这样子: 
这样,一次information_schema注入就完成了 转载地址:http://ajthn.baihongyu.com/
你可能感兴趣的文章
pip换源_命令行下一步到位
查看>>
python调用笔记本摄像头
查看>>
永恒之蓝(ms17-010)漏洞复现,进行简单后渗透信息收集
查看>>
简单的Dos命令/一行代码实现恶意程序
查看>>
[极客大挑战 2019]LoveSQL 1
查看>>
[极客大挑战 2019]PHP
查看>>
[极客大挑战 2019]Http
查看>>
[GXYCTF2019]Ping Ping Ping
查看>>
ZJNUCTF
查看>>
[极客大挑战 2019]BabySQL
查看>>
[ZJCTF 2019]NiZhuanSiWei
查看>>
[BUUCTF 2018]Online Tool
查看>>
[GXYCTF2019]BabySQli
查看>>
BUUCTF_upload-labs 第一题
查看>>
2020暑期集训WEB部分WriteUp
查看>>
[极客大挑战 2019]HardSQL
查看>>
[网鼎杯 2020 青龙组]AreUSerialz
查看>>
Ubuntu上使用docker部署flask项目记录
查看>>
[GXYCTF2019]禁止套娃
查看>>
[安洵杯 2019]easy_web
查看>>