我已经了解SQLMAP如何检查漏洞,但现在我对获取漏洞后SQLMAP如何获取数据库,表,列感到着迷。我试着通过查看他们的github回购来了解但仍然。
答案 0 :(得分:0)
在SQLi上读取this Hakipedia page,了解如何查询MySQL INFORMATION_SCHEMA表以获取数据库元数据。
MySQL INFORMATION_SCHEMA数据库(可从MySQL 5获得)由类似表的对象(又称系统视图)组成,这些对象导致以关系格式暴露元数据。因此,通过SELECT语句执行任意注入可以检索或格式化所述元数据。如果检索到的对象可由当前用户帐户访问,则只有攻击者才能访问元数据。在安装MySQL时,服务器会自动创建INFORMATION_SCHEMA数据库,其中的元数据由服务器维护。
例如,可以在SQL命令中注入UNION命令以从INFORMATION_SCHEMA表中检索数据。