實驗目的
通過本次實驗,掌握SQL注入中,通過information_schema這個數據庫爆庫名、表名以及字段名的原理。
實驗環境
windows 7、安裝wamp環境。
實驗內容與步驟
在MySQL數據庫的注入中,如果你有仔細看過SQL注入語句的話,你可能就會發現,在獲取數據庫名、表名和字段的時候,注入語句中information_schema這個數據庫出現得很頻繁,那么有沒有想過為什么會需要用到這個數據庫呢? 這個數據庫又是什么?它里面保存了什么?
information_schema數據庫是MySQL自帶的,MySQL 5以下沒有這個數據庫,它提供了訪問數據庫元數據的方式。什么是元數據呢?元數據是關於數據的數據,如數據庫名或表名,列的數據類型,或訪問權限等。也就是說information_schema中保存着關於MySQL服務器所維護的所有其他數據庫的信息。如數據庫名,數據庫的表,表欄的數據類型與訪問權限等。在INFORMATION_SCHEMA中,有數個只讀表。
在phpmyadmin中,在左側點擊information_schema數據庫。
展開后如下圖,顯示了該數據庫中的所有表,由於表數量太多,只截了一部分,可以拉動右邊的滾動條查看所有表。
也可以執行如下SQL語句來查看該庫中的所有表:
show tables;
需要注意的是,要在information_schema這個數據庫中執行該SQL語句。如何進入information_schema數據庫執行SQL語句,請參考前面進入sqli數據庫執行SQL語句的步驟。
這上面顯示的表,它們實際上是視圖,而不是基本表,所以你在數據庫的數據保存目錄,會看不到這個數據庫的實體文件。數據庫的數據保存在 C:\wamp\bin\mysql\mysql5.6.17\data 目錄,在這個目錄下一共有如下4個目錄:
想要查看數據庫的數據保存目錄,可以執行select @@datadir,如下圖:
每一個目錄對應數據庫中的一個數據庫,在數據庫中執行show databases;的時候,可以看到存在5個數據庫,正是少了information_schema這個數據庫。
在SQL注入中,我們重點關注的表有如下幾個,因為主要的時候主要利用這幾個表來獲取數據:
SCHEMATA:提供了當前mysql數據庫中所有數據庫的信息,其中SCHEMA_NAME字段保存了所有的數據庫名。show databases的結果取自此表。
TABLES:提供了關於數據庫中的表的信息,詳細表述了某個表屬於哪個schema,表類型,表引擎,創建時間等信息,其中table_name字段保存了所有列名信息,show tables from schemaname的結果取自此表。
COLUMNS:提供了表中的列信息。詳細表述了某張表的所有列以及每個列的信息,其中column_name保存了所有的字段信息。show columns from schemaname.tablename的結果取自此表。
為了更好地說明這些表的作用,我們進入mysql終端。
點擊右下角的wampserver圖標,如果沒有該圖標,可以雙擊桌面的WampServer運行。
然后在彈出來的列表中點擊MySQL,再選擇MySQL控制台。
會彈出一個命令行窗口,這就是mysql客戶端,此時要求輸入密碼,由於root的密碼為空,直接回車即可。
進入information_schema 數據庫,命令為:use information_schema; 。一定要注意后面記得加分號,分號表示一個語句結束,如果沒有檢測到你輸入分號,它會認為你一個語句還沒結束,直到碰到分號后,才開始執行語句。
首先執行show databases;查看所有的數據庫,然后再執行select schema_name from schemata;。
可以看到他們的作用是一樣的,都是列出所有數據庫,跟我們前面說的一樣,SCHEMA_NAME字段保存了所有的數據庫名。
所以,在注入中,我們可以通過注入select schema_name from schemata 來查詢的當前數據庫中所有的數據庫名,如果你去查看一些爆數據庫名的注入語句,就會發現里面包含這么一句:select schema_name from information_schema.schemata limit 0,1,其原理就是通過查詢information_schema.schemata中schema_name的結果,其中limit 0,1用來獲取第一條記錄,通過遞增第一個參數,可以每次獲取一條記錄,也就是一次獲取一個數據庫名,直到出現錯誤為止,說明沒有更多的錯誤。
通常在獲取了數據庫名后,就會選擇感興趣的數據庫,然后來獲取其中的數據,首先需要獲取感興趣的數據庫中的所有表名,通過查詢information_schema庫中的TABLES表就可以獲取表名。
在TABLES表中,它保存了所有數據庫中的所有表名以及這個表所屬的庫,意思是說,不管你在哪個數據庫中的表,在這里都會有一條記錄對應,如果你在一個數據庫中創建了一個表,相應地在這個表里,也會有一條記錄對應你創建的那個表。
desc 可以用來看表結構。看下tables的表結構,執行desc tables;,結果如下圖:
注意上圖中標記的那2條記錄,每一條記錄中,他們分別記錄一個表名和一個這個表所屬的庫名。其中TABLE_NAME保存的是表名,而TABLE_SCHEMA保存的是這個表名所在的數據庫。我們可以查詢一條記錄看看,在查詢前,先看看有多少條記錄,避免記錄太多查看不方便,執行select count(*) from tables; 結果如下圖:
說明當前所有數據庫中的表數量為142。查詢任意一條記錄查看,我這里選擇最后一條記錄,SQL語句為:select * from tables limit 141,1\G由於在客戶端中,默認查詢結果顯示不友好,所以,可以把語句后面的分號改成\G,他會讓一條記錄顯示一行,看起來不那么亂。\G只支持在客戶端中用,在其他連接數據庫的軟件中,使用\G會報錯。
可以看到,最后一條記錄的TABLE_NAME是user,TABLE_SCHEMA為sqli。查看sqli數據庫中的表,SQL語句為:show tables from sqli;可以看到確實存在user表。
既然information_schema的TABLES表中的TABLE_SCHEMTA字段是保存的數據庫名,而TABLE_NAME保存了表名,那么我們就可以使用TABLE_SCHEMTA字段作為查詢條件,查詢TABLE_NAME,即可得知所有指定數據庫中的所有表名。比如,我們想要通過information_schema數據庫來查詢sqli數據庫中所有的表,那么就可以使用如下SQL語句:
select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA = 'sqli';
如果當前庫為information_schema,則可以省略不寫,否則跨庫查詢的時候,需要帶上庫名。結果如下圖:
通過修改TABLE_SCHEMA 的限制,可以查詢任意數據庫中的所有表名,網上的通過注入爆表名便是這個原理。
知道了表名,那么如何獲取表中的字段呢?要知道我們沒有表名的話,會把所有的數據查詢出來,而如果注入沒有回顯,不能進行union查詢,那么想要獲取我們的標目數據,無疑效率極低。
幸運的是,在information_schema數據庫中,同樣存在一個表,它保存了整個數據中,所有的列名,這個表就是COLUMNS。同樣先查看該表結構。
這里面,與注入相關的存在3個字段,分別是TABLE_SCHEMA、TABLE_NAME以及COLUMN_NAME,不難猜到,如果在該表中查詢一條記錄,TABLE_SCHEMA保存了這條記錄保存的字段所屬的數據庫名,而TABLE_NAME保存的是該字段所屬表名,COLUMN_NAME則是一個列名記錄,查詢一條記錄驗證一下,首先確定該表有多少條記錄,執行select count(*) from columns;,得知一共有1662條記錄,結果如下圖:
我們獲取最后一條記錄,執行select * from columns limit 1661,1\G
其中COLUMNS_NAME為ip,TABLE_NAME為user,TABLE_SCHEMA為sqli,這說明,在sqli這個數據中,user表存在一個ip的列,也就是我們常說的ip字段。
查看sqli的user表是否存在該字段,執行SQL語句:show columns from sqli.user;
可以看到確實存在該字段。
既然在columns中,TABLE_NAME保存了字段所屬的表名,TABLE_SCHEMA保存了該字段所屬的庫名,與通過TABLES表獲取表名一樣,我們就可以查詢把TABLE_NAME 和TABLE_SCHEMA做為查詢條件,查詢符合條件的COLUMN_NAME,也就是查詢指定數據庫中某表中的字段。
比如,我們要通過information_schema數據庫的columns表查詢sqli數據庫中user表中所有的字段,可以執行如下SQL語句:
select column_name from information_schema.columns where TABLE_SCHEMA='sqli' and TABLE_NAME='user';
查詢結果與show columns from sqli.user; 一致。
知道了庫名、表名、字段,如果有回顯且支持聯合查詢,就可以直接通過在注入點后面注入一個聯合查詢語句,即可直接獲取數據,如果不能回顯,則可能需要通過盲注獲取數據,可以參考MySQL盲注實驗。
