HACKING/Web hacking
SQL injection msql.innodb_table_stats
공부하자~~
2018. 2. 24. 20:00
codegate Simple CMS 문제 write up을 보다가 새로운 sql inejction 기술을 알았다.
보통 information_schema를 이용해 wargame을 많이 풀었었는데 information을 많이 막는 경우엔 먹히지 않는다.
이럴때 풀기 좋은 방법인듯 해서 포스팅 한다.
바로 mysql.innodb_table_stats이다.
사용방법은 간단하다.
먼저 desc로 컬럼 명들을 확인해보자.
database_name, table_name 등 injection에서 중요하게 다룰 수 있는 데이터가 저장되어있다.
select해보면 table명이나 database명을 뽑을 수 있다.
CTF에서 잘 이용할 날이 있으면 좋겠다.