union注入即为用union联合查询来查询指定的数据,需要根据每一步的返回结果来判断和进行下一步操作。此仅为个人的学习笔记。

结构

联合查询的语句结构基本为:

select a from b union select c from d where e;

union会一次显示两个查询结果,使第一个查询语句作为正常内容,第二个作为查询语句来进行构造。

第一步:判断类型

数字型判断

共分3步判断步骤:
1.加单引号,如输入1’,对应的sql为:select * from table where id=1’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常。

2.加and 1=1,如输入1 and 1=1,对应的sql:select * from table where id=1’ and 1=1 没有语法错误且逻辑判断为正确,所以返回正常。

3.加and 1=2,如输入1 and 1=2,对应的sql:select * from table where id=1 and 1=2 没有语法错误但是逻辑判断为假,所以返回错误。

若满足上述步骤,则注入类型为数字型。

字符型判断

也分3步。

1.加单引号,对应的sql语句由于加单引号后变成三个单引号,则无法执行,程序会报错;

2.输入x’ and ‘1’='1,对应的Sql 语句:select * from table where id = ‘x’ and ‘1’=‘1’,语法正确,逻辑判断正确,所以返回正确。

3.输入x’and ‘1’='2,对应的Sql 语句:select * from where id = ‘x’ and ‘1’=‘2’,
语法正确,但逻辑判断错误,所以返回正确。

若满足上述步骤,则注入类型为字符型。

接下来的步骤均假设注入类型为字符型,开始union注入的几大步骤:

第二步:判断字段数

1.union有严格的约束条件,必须保证字段数一致,即两个查询结果有相同的列数,因此我们要对字段数进行判断。

2.可以使用order by number ,其作用为输出第number列。如:

1' order by 1 --+

3.一直增加number的数值直到报错,则前一位数字即为字段数。

第三步:判断回显点

1.判断回显点即为判断在哪个字段出会输出有效信息,可以输入如

# 第一种写法:
1' union select 1,2,3,...... limit 1,1 --+
# 第二种写法:
-1' union select 1,2,3,...... --+

联合查询的输出是严格按照顺序进行的,因此当id=1存在时会在第0行输出第一个sql语句查询到的结果,所以我们输入的数字就到了下一行。

其中:
第一种方法中 limit n,m 的作用为从第n行开始显示m行内容;
第二种方法使id=-1直接使查询结果为空,这样,就不会占用第0行。

2.找到回显字段后,就可以把SQL语句写在该位置,相应的结果也会输出。

第四步:获得数据库库名

1.在可以回显的位置输入database()可获得当前数据库名。假设2位置为回显的位置,如:

-1' union select 1,database(),...... --+

2.可以使用group_concat() 将所有内容写入一行并输出。

第五步:获得表名

利用的查询是:

(select group_concat(table_name) from information_schema.tables where table_schema='xxx' )

假设是在2为=位置回显,使用语句:

> -1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='xxx' ) --+

其中:information_schema是mysql自带的库,记录了该数据库所有的表名和字段名,该句的含义为:查找数据库中xxx库下的所有表名,group_concat() 将所有内容写入一行并输出。

第六步:获得字段名

同上,只需要一条语句:

> -1’ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=‘xxx’ and
table_name=‘xxx’) --+

即为查询数据库xxx下表xxx中的所有字段.
其中:Column_name 为字段/列名称。

最后:查数据

经过上述六步,获得了库名,表名,字段名后,在可以回显的位置输入SQL语句即可。