您的位置: 首页  >  文章  >  张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注

张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注

分类: 文章 2024-03-11 20:52:25

UNION联合查询注入

union简介
union操作符用于合并两个或者多个select语句的结果集。
ps: union内部的select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条select语句中的列的顺序必须相同。
默认情况,union操作符选取不同的值。如果允许重复的值,请使用union all

union注入条件

  1. 只有最后一个select子句允许有order by
  2. 只有最后一个select子句允许有limit
  3. 只要union连接的几个查询的字段数一样且列的数据类型转换没有问题,就可以查询出结果
  4. 注入点页面有回显

union注入流程
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注

这里我们用sqli-labs的环境来演示union联合查询漏洞的操作流程。
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注

1.order by确定列数

order by函数用于给某一列的数据进行排序
例如order by 1给数据库表的第一列数据从小到大进行排序
url上添加输入

' order by 3--+

'用于隔断字符串,- -+用于注释该行的后续语句
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注
2.
经过步骤一多次尝试,我们最终发现该表有三列,那么接下来我们观察页面返回,选取可以显示数据的位置,进行下一步的注入

url修改添加输入

 id=100' union select 1,2,3--+

张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注
因为union查询默认只显示第一列的字段值,所以我们把union之前的查询语句故意设置为100使其查询错误而显示第二段的值,从而我们找到显示数据的位置。

3.读库信息

我们通过替换上述的值的位置来读取数据库信息

将url语句的3替换为database()
来读取当前库信息
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注也可以在该位置替换为查询语句查询所有库名
替换内容

(select schema_name from information_schema.schemata limit 0,1)

limit函数为限制输出,因为页面只能显示一行数据,所以我们将一个第一行的数据显示出来,如果要显示第二行的数据,将0该为1即可,依次修改数据获取所有数据库名。对SQL语句不熟悉的朋友可以先复制下来直接用
,这个在学习之初是不影响的。
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注4.读表信息
同样,在该位置替换为查询该库所有表信息

select table_name from information_schema.tables where table_schema=database() limit 0,1

其余操作同上步骤,从而查出所有表名
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注
5.读列信息

同样位置替换

Select column_name from information_schema.columns where table_name='users' limit 1,1
Select column_name from information_schema.columns where table_name='users' limit 2,1

替换之后我们得到了两个关键的字段名username,password
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注6.查询数据
同上,替换数据

Select group_concat(username,':',password) from users

group_concat函数这里有详细的讲解,有兴趣的可以看一下concat系列函数讲解
张小白的渗透之路(七)-SQL注入详细操作步骤-union联合查询注入-报错注入-布尔盲注-时间延迟注入-Dnslog盲注

报错注入

1.报错注入原理

构造payload让信息通过错误提示回显出来

ps: payload就是代码中最关键的数据,
比如:查找用户名,这条命令中,用户名就是最关键的数据

2.报错注入条件

  1. 查询不回显错误的信息不回显内容,会打印错误信息
  2. update、insert等语句,会打印错误信息

3.报错注入方法

凡是可以让错误信息显示的函数(语句),都能实现报错注入,这里我们列举3种。
floor()函数

select count(*) from information_schema.tables group by cocat((select version()),floor(rand(0)*2));

这句话想要查询的是数据表的数量。
这条报错语句的原理是利用group by 对rand()函数进行操作时产生错误
具体原理如下

  1. 例如select age,count(*) from student group by age; 其实在group by这个查询语句中,
    在数据库中的显示结果其实是产生一张新的表, 在group by执行过程中一行行的去扫描原始表的字段值,
    如果age在新表并不存在,那么就将他插入,count()设置为1,如果已经存在,就在count()的基础上加1。

    ps: group by后的字段是的虚拟表的主键,是不能重复的,这是报错成功的关键。

2.刚刚我们提到了,报错的主要原因是因为group by后的主键重复了,那么我们就来看一下他到底在哪里重复的,什么时候重复的
首先rand()函数是用来生成一个0~1的随机数,
开头写的rand(0)*2是0~2的随机数,

ps:
因为rand()生成的数毫无规律,而rand(0)生成的数有规率可循,
floor函数是往下取整,举个例子

select floor(rand()*2) from user;

该查询语句的结果为0100010

select floor(rand()*2) from user;

该查询语句的结果为0110110

ps:如果你觉得数据不够,不能够证明rand()的随机性,你可以多插入几条数据在尝试一下

现在我们弄清楚了group by语句的工作流程以及rand()和rand(0)的区别,那么接下来就是重点了
在执行group by语句的时候,group by语句后面的字段会被运算两次。

相关推荐