SQLMAP が脆弱性をチェックする方法を理解しましたが、脆弱性を取得した後、SQLMAP がデータベース、テーブル、列をフェッチする方法に魅了されました。私は彼らのgithubレポを見て理解しようとしましたが、それでも.
1679 次
1 に答える
0
データベース メタデータを取得するためにMySQL テーブルがどのようにクエリされるかについて、SQLi に関するこの Hakipedia ページを読んでください。INFORMATION_SCHEMA
MySQL INFORMATION_SCHEMA データベース (MySQL 5 から利用可能) は、テーブルのようなオブジェクト (別名、システム ビュー) で構成され、リレーショナル形式でメタデータを公開します。したがって、SELECT ステートメントを介した任意のインジェクションの実行により、上記のメタデータを取得またはフォーマットすることができます。攻撃者がメタデータにアクセスできるのは、現在のユーザー アカウントが取得したオブジェクトにアクセスできる場合のみです。INFORMATION_SCHEMA データベースは、MySQL のインストール時にサーバーによって自動的に作成され、その中のメタデータはサーバーによって維持されます。
たとえばUNION、SQL コマンドにコマンドを挿入して、INFORMATION_SCHEMAテーブルからデータを取得できます。
于 2014-07-16T13:00:47.663 に答える