留言与评论(共有 0 条评论) |
发布时间:2020-04-12 08:37:00
既然有注入,那么攻击者就可以输入他构造的语句去查询你数据库的库、表、列。写一个简单的思路,拿mysql做例子吧,mysql默认会有一个 information_schema库,这个库中会包含你整个mysql里面的结构信息。例如现在有一个注入,我想知道库底下都有什么表:我先执行一个 SELECT DATABASE();查看你当前的库接着我再 SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA = '数据库名';就能看到你当前库的表名再接着看列的话就是 SHOW columns FROM 表名;当然了,实战中远远没这么容易,但是会有sqlmap、穿山甲等注入工具来作为辅助,工具构造的语句那是相当繁琐,还特么各种猥琐。希望能解开你心中的迷惑~~~
选中要查询的那个数据库,新建查询
select * from (where )
留言与评论(共有 0 条评论) |
全站搜索