SQL注入之联合查询注入

SQL注入之联合查询注入

一、联合查询注入原理

联合查询注入是一种常见的SQL注入攻击手法,其核心原理是利用SQL中的UNION操作符将多个SELECT语句的结果集合并,从而返回一个统一的结果集。在使用UNION时,必须确保前后两个查询的列数相同,且对应列的数据类型兼容。攻击者通过构造恶意查询,将数据库中的敏感信息(如数据库名称、表名、列名等)与正常查询结果一并输出,从而窃取关键数据。这种攻击方式通常用于探测数据库结构并获取未经授权的信息。

二、联合查询注入方法

联合查询注入的方法一共分三步:

  1. 确定列数 :通过ORDER BY子句利用二分法确定查询的列数(超出列数时会报错)。
  2. 确定可显示列 :利用UNION SELECT,将数字或字符串替换到不同列,找出回显数据的列。
  3. 获取数据:构造恶意查询,获取数据库中的敏感信息。

例如某个功能的SQL语句如下:

sql 复制代码
SELECT id, name, age, sex FROM students WHERE name LIKE '%用户输入%'

①确认列数

我们可以在【用户输入】中输入 1' ORDER BY 4 --,此时 SQL 语句会被拼接为:

sql 复制代码
SELECT id, name, age, sex FROM students WHERE name LIKE '%1' ORDER BY 4 --%'

当使用 ORDER BY 4 时,SQL 语句不会报错;然而,当使用 ORDER BY 5 时,SQL 语句会抛出错误:ERROR 1054 (42S22): Unknown column '5' in 'order clause'

通过观察是否出现报错,我们可以确定查询结果中的列数。

②确定可显示列

由于 SQL 查询语句中的字段不会全部显示在页面上或通过接口返回,因此我们需要通过 UNION SELECT 将数字或字符串替换到不同的列,以确定回显数据的位置。

我们可以在【用户输入】中输入 1' UNION SELECT 1, 2, 3, 4 --,此时 SQL 语句会被拼接为:

sql 复制代码
SELECT id, name, age, sex FROM students WHERE name LIKE '%1' UNION SELECT 1, 2, 3, 4 --%'

通过观察页面,我们可以查找是否有数据显示为 1234(如果原本数据中已经存在 1234,则可以替换为其他数据)。如果存在,则这些位置即为可显示列。

③获取数据

在找到可显示列后,我们就可以利用这些位置查询所需的数据。例如,假设位置 3 是可显示列,我们可以在【用户输入】中输入 1' UNION SELECT 1, 2, user(), 4 --,此时 SQL 语句会被拼接为:

sql 复制代码
SELECT id, name, age, sex FROM students WHERE name LIKE '%1' UNION SELECT 1, 2, user(), 4 --%'

通过这种方式,我们可以在页面上查看到 SELECT user() 的返回内容。

三、联合查询注入实例

在Pikachu中,进行实践。

①确认列数

在输入框中分别输入以下内容:

  • 1' order by 3 #
  • 1' order by 4 #

通过观察页面响应,可以确认查询结果的列数为 3。

②确定可显示列

在输入框输入:1' UNION SELECT 1, 2, 3 #

发现三个字段均可显示

③获取数据

在输入框输入:1' UNION SELECT database(), version(), user() #

随便在某个字段进行查询脱库

文章转载自: 测试小罡

原文链接: www.cnblogs.com/test-gang/p...

体验地址: www.jnpfsoft.com/?from=001YH

相关推荐
望获linux2 小时前
【Linux基础知识系列:第一百五十九篇】磁盘健康监测:smartctl
linux·前端·数据库·chrome·python·操作系统·软件
西部风情2 小时前
聊聊并发、在线、TPS
android·java·数据库
清风6666665 小时前
基于单片机的水塔液位检测与智能调节报警系统设计
数据库·单片机·嵌入式硬件·毕业设计·课程设计·期末大作业
gplitems1236 小时前
Technox – IT Solutions & Services WordPress Theme: A Practical
linux·服务器·数据库
不剪发的Tony老师6 小时前
MySQL 9.5创新版发布,有哪些新功能?
数据库·mysql
布朗克1687 小时前
MySQL 及 SQL 注入详细说明
数据库·sql·mysql·1024程序员节
武子康7 小时前
Java-154 深入浅出 MongoDB 用Java访问 MongoDB 数据库 从环境搭建到CRUD完整示例
java·数据库·分布式·sql·mongodb·性能优化·nosql
Austindatabases8 小时前
DBA 从“修电脑的” 到 上演一套 “数据治理” 大戏 --- 维护DBA生存空间,体现个体价值
数据库·dba
LB21128 小时前
Redis黑马点评 day01
数据库·redis·缓存
白小筠8 小时前
创建Django项目
数据库·django·sqlite