Dork's port

SQL-injection - SQL injection attack, listing the database contents on non-Oracle databases 본문

portswigger-academy

SQL-injection - SQL injection attack, listing the database contents on non-Oracle databases

Dork94 2020. 7. 14. 16:21
  • ' UNION SELECT table_name,column_name FROM information_schema.columns-- 를 통해서 table name과 column 내용을 찾아보는중이다. (저 쿼리문을 완성하기까지, 구글링이나 직접 mysql에서 information_schema 테이블의 구조를 살펴보았찌만 서술하기 귀찮아서 생략)
  • column 이름에 userpass 가 들어간것을 찾다보니, pg_user table에 usenamepasswd 가 들어가는 것을 찾아서 쿼리를 날렸으나 검색 결과는 postgres ,******** 하나만 return 되었다.
  • 다음 후보군으로는 users_afnnhi 테이블에 username_lsslgs , password_ngsjpn 가 있다. 느낌상 이게 맞을듯
  • administrator, 6uzee537eyg0hdkgnkiv 확인!
저작자표시 비영리 변경금지

'portswigger-academy' 카테고리의 다른 글

SQL-injection - Blind SQL injection with conditional responses  (0) 2020.07.14
SQL-injection - SQL injection attack, listing the database contents on Oracle  (0) 2020.07.14
SQL-injection - SQL injection attack, querying the database type and version on MySQL and Microsoft  (0) 2020.07.14
SQL-injection - SQL injection attack, querying the database type and version on Oracle  (0) 2020.07.14
SQL-injection - SQL injection UNION attack, retrieving multiple values in a single column  (0) 2020.07.14
'portswigger-academy' Related Articles more
Comments