(此文章是记录本人对知识理解的随手笔记,内容不肯定百分百正确,如有错误望指出并谅解)
结论:
union联合查询是为了判断SQL语句中哪个地方可以被代替,代替的地方是可以在网页上显示出来的{ 例:若 select 1,2,3; 中的2这个地方可以被代替,我们就可以通过一些SQL语句或数据库函数(如 database())来代替2的位置,让自己需要查询到的信息显示到网页上。}
原理:
当查询语句为:
select uid,username,password where uid='1' union select 1,2,3;此SQL语句操作后,查询到的结果为俩行,查询结果如图所示:
第一行的内容(结果一)是union前面的SQL语句 (即select uid,username,password where uid='1' )的查询结果。第二行的内容(结果二)是union后面的SQL语句 (即select 1,2,3)的查询结果。俩行查询的结果一一对应。
例子:
1、若URL地址如图所示 : (id为1)
此时服务器数据库后台查询到的结果为:
正常情况下在网页上显示的是结果一的内容:
2、但为了让union操作符后面的我们自定义的SQL语句查询到的结果显示到网页上,我们让结果一的查询结果为空,那怎么为空呢?
我们让id=-1(数据库中的uid是从1开始往后记录的,所以当id=-1时查询不到结果,结果就为空了)
此时数据库的查询结果:
原本结果二的内容就顺理成章的代替了结果一的位置,最终的查询结果也就一行(也就是原来的结果二),此时“2”和“3”就回显示在网页上:
3、前期工作做完了,我们可以利用这俩个回显点了。
利用点1:
如下图的地址栏所示,用database()函数来代替2位置的回显点来获取所使用的数据库的名字:
通过下图可以看到数据库的名字为security
其他可利用函数,可以参考另一篇文章:
(5条消息) SQL注入中可利用的函数,如database()、user(),@@datadir_头顶蜘蛛网,脚踩大水缸的博客-CSDN博客文章来源:https://www.toymoban.com/news/detail-712513.html
利用点2:
原理同上,把3位置的回显点代替了。
URL地址设为:http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
该SQL语句详解,可以参考另一篇文章:详解union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘ ‘--+_头顶蜘蛛网,脚踩大水缸的博客-CSDN博客
所以最终此利用点可以让该数据库的表名显示出来,通过下图可以看到表名有emails、referers、uagents、users
文章来源地址https://www.toymoban.com/news/detail-712513.html
到了这里,关于sql注入中的union联合查询,union select 1,2,3的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
