最新Union注入攻击及代码分析技术

点击星标,即时接收最新推文

最新Union注入攻击及代码分析技术_第1张图片

本文选自《web安全攻防渗透测试实战指南(第2版)》

点击图片五折购书

最新Union注入攻击及代码分析技术_第2张图片

Union注入攻击

Union注入攻击的测试地址在本书第2章。

访问该网址时,页面返回的结果如图4-12所示。

最新Union注入攻击及代码分析技术_第3张图片

图4-12  

在URL后添加一个单引号,即可再次访问。如图4-13所示,页面返回的结果与id=1的结果不同。

最新Union注入攻击及代码分析技术_第4张图片

图4-13  

访问id=1 and 1=1,由于and 1=1为真,所以页面应返回与id=1相同的结果,如图4-14所示。

最新Union注入攻击及代码分析技术_第5张图片

图4-14  

访问id=1 and 1=2,由于and 1=2为假,所以页面应返回与id=1不同的结果,如图4-15所示。

最新Union注入攻击及代码分析技术_第6张图片

图4-15  

可以得出该网站可能存在SQL注入漏洞的结论。接着,使用order by 1-99语句查询该数据表的字段数量。访问id=1 order by 5,页面返回与id=1相同的结果,如图4-16所示。

最新Union注入攻击及代码分析技术_第7张图片

图4-16

访问id=1 order by 6,页面返回与id=1不同的结果,则字段数为5,如图4-17所示。

最新Union注入攻击及代码分析技术_第8张图片

图4-17  

在数据库中查询参数ID对应的内容,然后将该内容输出到页面。由于是将数据输出到页面上的,所以可以使用Union注入,且通过order by查询结果,得到字段数为5,Union注入的语句如下:

union select 1,2,3,4,5

如图4-18所示,可以看到页面成功执行,但没有返回union select的结果,这是由于代码只返回第一条结果,所以union select获取的结果没有输出到页面。

最新Union注入攻击及代码分析技术_第9张图片

图4-18  

可以通过设置参数ID值,让服务器端返回union select的结果。例如,把ID的值设置为-1,由于数据库中没有id=-1的数据,所以会返回union select的结果,如图4-19所示。

最新Union注入攻击及代码分析技术_第10张图片

图4-19  

返回的结果为2﹕5,意味着在union select 1,2,3,4,5中,可以在2和5的位置输入MySQL语句。尝试在2的位置查询当前数据库库名(使用database()函数),访问id=-1 union select 1,database(),3,4,5,页面成功返回了数据库信息,如图4-20所示。

最新Union注入攻击及代码分析技术_第11张图片

图4-20  

得知了数据库库名后,接下来输入以下命令查询表名。

select table_name from information_schema.tables where table_schema='test' limit 0,1;

尝试在2的位置粘贴语句,这里需要加上括号,结果如图4-21所示,页面返回了数据库的第一个表名。如果需要看第二个表名,则要修改limit中的第一位数字,例如使用limit 1,1就可以获取数据库的第二个表名。

最新Union注入攻击及代码分析技术_第12张图片

图4-21  

所有的表名全部被查询完毕。已知库名和表名,接下来查询字段名。这里以users表名为例,查询语句如下:

select column_name from information_schema.columns where table_schema='test' and table_name='users' limit 0,1;

尝试在2的位置粘贴语句,括号不可少,结果如图4-22所示,获取了emails表的第一个字段名。

最新Union注入攻击及代码分析技术_第13张图片

图4-22  

通过使用limit 1,1,获取了emails表的第二个字段名,如图4-23所示。

最新Union注入攻击及代码分析技术_第14张图片

图4-23  

获取了数据库的库名、表名和字段名,就可以通过构造SQL语句来查询数据库的数据。例如,查询字段username对应的数据,构造的SQL语句如下:

select username from test.users limit 0,1;

查询结果如图4-24所示,页面返回了username的第一条数据。

最新Union注入攻击及代码分析技术_第15张图片

图4-24  

最新Union注入攻击及代码分析技术_第16张图片

Union注入代码分析

在Union注入页面,程序获取GET参数ID,将ID拼接到SQL语句中,在数据库中查询参数ID对应的内容,然后将第一条查询结果中的username和address输出到页面。由于是将数据输出到页面上的,所以可以利用Union语句查询其他数据,代码如下:

";
?>

当访问id=1 union select 1,2,3,4,5时,执行的SQL语句为:

select * from users where `id`=1 union select 1,2,3,4,5

此时,SQL语句可以分为select * from users where `id`=1和union select 1,2,3,4,5两条,利用第二条语句(Union查询)就可以获取数据库中的数据。

最新Union注入攻击及代码分析技术_第17张图片

MS08067安全实验室视频号已上线

欢迎各位同学关注转发~

—  实验室旗下直播培训课程  —

最新Union注入攻击及代码分析技术_第18张图片

最新Union注入攻击及代码分析技术_第19张图片

最新Union注入攻击及代码分析技术_第20张图片最新Union注入攻击及代码分析技术_第21张图片

最新Union注入攻击及代码分析技术_第22张图片

最新Union注入攻击及代码分析技术_第23张图片

最新Union注入攻击及代码分析技术_第24张图片

最新Union注入攻击及代码分析技术_第25张图片

最新Union注入攻击及代码分析技术_第26张图片


和20000+位同学加入MS08067一起学习

最新Union注入攻击及代码分析技术_第27张图片

你可能感兴趣的:(最新Union注入攻击及代码分析技术)