张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入
UNION联合查询注入
union简介
union操作符用于合并两个或者多个select语句的结果集。
ps: union内部的select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条select语句中的列的顺序必须相同。
默认情况,union操作符选取不同的值。如果允许重复的值,请使用union all
union注入条件
- 只有最后一个select子句允许有order by
- 只有最后一个select子句允许有limit
- 只要union连接的几个查询的字段数一样且列的数据类型转换没有问题,就可以查询出结果
- 注入点页面有回显
union注入流程
这里我们用sqli-labs的环境来演示union联合查询漏洞的操作流程。
1.order by确定列数
order by函数用于给某一列的数据进行排序
例如order by 1给数据库表的第一列数据从小到大进行排序
url上添加输入
' order by 3--+
'用于隔断字符串,- -+用于注释该行的后续语句
2.
经过步骤一多次尝试,我们最终发现该表有三列,那么接下来我们观察页面返回,选取可以显示数据的位置,进行下一步的注入
url修改添加输入
id=100' union select 1,2,3--+
因为union查询默认只显示第一列的字段值,所以我们把union之前的查询语句故意设置为100使其查询错误而显示第二段的值,从而我们找到显示数据的位置。
3.读库信息
我们通过替换上述的值的位置来读取数据库信息
将url语句的3替换为database()
来读取当前库信息
也可以在该位置替换为查询语句查询所有库名
替换内容
(select schema_name from information_schema.schemata limit 0,1)
limit函数为限制输出,因为页面只能显示一行数据,所以我们将一个第一行的数据显示出来,如果要显示第二行的数据,将0该为1即可,依次修改数据获取所有数据库名。对SQL语句不熟悉的朋友可以先复制下来直接用
,这个在学习之初是不影响的。
4.读表信息
同样,在该位置替换为查询该库所有表信息
select table_name from information_schema.tables where table_schema=database() limit 0,1
其余操作同上步骤,从而查出所有表名
5.读列信息
同样位置替换
Select column_name from information_schema.columns where table_name='users' limit 1,1
Select column_name from information_schema.columns where table_name='users' limit 2,1
替换之后我们得到了两个关键的字段名username,password
6.查询数据
同上,替换数据
Select group_concat(username,':',password) from users
group_concat函数这里有详细的讲解,有兴趣的可以看一下concat系列函数讲解
