SQL注入之union联合注入

特别申明

       本文章仅供学习使用,其余利用本文章内容进行的任何行为与本人无关!做任何渗透操作前,请一定三思,做个遵纪守法的好公民!

简介

       在初见SQL注入提到三种分类方式,其中一个是根据注入是否有回显来进行分类,本文将详细讲解有回显这类的注入方式。有有回显的注入,顾名思义,程序会将后端执行SQL查询语句的结果,返回显到页面中,通过各种巧妙的方式让各种你想要知道的关键信息显示在页面中。有回显的注入常见的有联合注入和报错注入,本文将详细讲解union联合注入。

正文

一、概念

       个人理解联合注入是根据一次次的试探结果,确定表、库、字段名等,最后结合sql语句中union操作符的特性,获取到你想要的数据。说到联合注入,这里提前跟大家介绍下SQL中“union”和“order by”,方便理解后文的操作步骤。

 

二、利用条件

1、注入页面有回显;
2、允许使用order by;
3、允许使用union;

三、union

       用于合并两个或多个 SELECT 语句的结果集。等同于将一个表追加到另一个表,从而实现将两个表的查询组合到一起,使用谓词为UNION或UNION ALL。要注意的是UNION 内部的 SELECT 语句必须拥有相同数量的列列也必须拥有相似的数据类型,每条 SELECT 语句中的列的顺序必须相同。例如下面的语句,

SELECT column_name(s) FROM table_name1
UNION
SELECT column_name(s) FROM table_name2

四、order by

       用于对结果集按照一个列或者多个列进行排序,默认按照升序对内容进行排序。

order by带列名进行排序,如对model列排序:

select * from django_content_type order by model;

       order by带第几列进行排序,如对第二列排序:

select * from django_content_type order by 2;

       这个时候有意思的事情来了,那么如果我输入的列数不存在呢?当然是报错啦,如下图,我输入不存在的第4列,得到的返回如下:

       根据这个情况,我们就可以得出一个结论,假设我order by后面带的参数为n

       1、如果返回正常,则这个表里的列数大于n;

       2、如果报错,则这个表里的列数小于n;

       根据上面这个结论,可以用二分法判断出这个表的列数。

五、注入步骤

 1、判断注入点

 2、判断注入点为整型还是字符型

 3、使用order by推断字段数,即表中列的数量

 4、使用union,确认显示位,即会显示的字段

 5、获取数据库名

 6、获取数据库表名

 7、获取数据库表中所有字段

 8、获取字段中数据

这里我结合dvwa模拟每一步的操作

1、判断注入点

       首先打开页面查看注入点显然是这个输入框

 2、判断注入点为整型还是字符型

       首先分别输入1' and '1'='1和1' and '1'='2,观察两个返回结果是否相同,如果相同,则为字符型,如果不同,则为整型,可以看到结果如下,显然返回结果不同,那么可以确定注入点为整型;

3、使用order by推断字段数,即表中列的数量

       在注入点输入1' order by 5#,返回错误,如下图,那么显然字段列数小于5;

       (url中的%27代表“' ”字符,%23代表“#”字符)

接着尝试输入1' order by 2#,结果正常输出,可以确定只有2列字段;

4、使用union,确认显示位,即会显示的字段

       构造输入方式,保证输入的字符能正确拼接在本来的sql中,在注入点输入1' union select 1,2 #,上一步已经判断此sql中只有两列,所以select后面只能输入两列;最后的“#”字符的目的是注释掉后面本来的sql语句。可以看到返回如下图,能正常显示;

5、获取数据库名

       在注入点输入1' union select 1,2 #,返回如下图,获取数据库用户名及数据库名dvwa,;

6、获取数据库表名

       在注入点输入下面语句,获取所有表名

1' union select group_concat(table_name),database() from information_schema.tables where table_schema = database() #

7、获取数据库表中所有字段

1' union select group_concat(column_name),database() from information_schema.columns where table_schema = database() #

8、获取字段中数据

       只要修改sql语句,就能获取字段中的数据了,具体的这里就不展示了,现实中,到这一步你应该立刻,马上停止操作,然后同厂商同步此漏洞!切记,要做一个遵纪守法的好公民!

  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值