浅谈SQL注入中的-1‘ union select 1,2,3#

这篇具有很好参考价值的文章主要介绍了浅谈SQL注入中的-1‘ union select 1,2,3#。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、环境

集成环境:phpstudy pro
Apache:2.4.39
MySQL:5.7.26
数据库工具:SQL_Front
靶场:Metasploitable2

二、语句分析

对于 -1' union select 1,2,3#这条SQL注入语句,如果从功能作用上进行划分的话,我们可以将该语句分为四部分来看,第一部分是 -1 ,第二部分是 ’ (单引号)和#,第三部分是 union ,第四部分是 select 1,2,3 。
那么接下来为了便于大家更好的理解,我将按照:第四部分 ——> 第三部分 ——> 第四部分和第三部分的结合 ——> 第二部分 ——> 第一部分 ——> 总结 的顺序,来给大家细细道来。

三、第四部分——SQL中的select语句

要想读懂第四部分的代码,首先我们需要了解SQL中的select语句,select语句是SQL中的查询语句,用于从数据库中查询数据,并且返回给用户。
它的简单用法是这样的:select 字段名1,字段名2...字段名n from 表名
当然,你也可以同时指定数据库名及表名,具体用法是用一个点号连接数据库名和表名,例子:select 字段名1,字段名2...字段名n from 数据库名.表名
好,有了上面的基础,那我们再来看一下第四部分语句中的select语句,可以明显发现他并没有from子句,那它实现了什么效果呢?俗话说的好,实践出真知,我们自己动手上机试试就行了呗!我希望下面的内容新手小白读者可以和我一起做,有不懂的可以在评论区留言。
我们以DVWA下的dvwa数据库中的users表来举一个select语句的例子

mysql -u root //登录数据库,Metasploitable2默认没有密码,所以无需-p参数
show databases; //列出所有数据库
use dvwa; //选择dvwa数据库

union select 1,2,3,sql,数据库,网络安全,安全,web安全

show tables; //显示当前选中的数据库中的所有表名
select * from users limit 1; //获取第一行的数据,可以通过这个方法得到表中所有的字段名,不会被大量数据顶走

union select 1,2,3,sql,数据库,网络安全,安全,web安全
现在我们知道了数据库名、表名、字段名,那么接下来给大家举一个简单的select语句的例子:

select user,password from users;

该语句的作用是:查询当前数据库下的users数据表中的user字段和password字段的所有内容,并且返回这两个字段的结果。
union select 1,2,3,sql,数据库,网络安全,安全,web安全
上图即为该条select查询语句的返回结果

相信大家对select语句也有了简单的了解了吧,这里请各位小白多尝试几次查询,去观察他的返回结果的模样。在那之后,我们便可以直接开始上机,运行以下语句看看他是什么效果吧!

select 1;

union select 1,2,3,sql,数据库,网络安全,安全,web安全

select 1,2;

union select 1,2,3,sql,数据库,网络安全,安全,web安全

select 1,2,3;

union select 1,2,3,sql,数据库,网络安全,安全,web安全

select 4,3,1,2;

union select 1,2,3,sql,数据库,网络安全,安全,web安全

select "asdf",3,-2,"99";

union select 1,2,3,sql,数据库,网络安全,安全,web安全
通过将这几个代码的返回结果和上面举的那个select语句的例子的返回结果进行对比后不难发现以下几点:

  1. 不管你select语句后的字段名是什么,他都会原封不动的回显出来。
  2. 在返回结果中,总是返回一行数据。
  3. 字段名和返回的这一行数据是对应相等的,他们都等于你输入的select语句后的字段名
  4. 返回的那一行数据的列数,等于你输入的select语句后的字段名的个数
  5. 字段名的顺序和类型随意(不是说必须按照从小大的顺序,比如可以是select 1,2,3也可以是select 2,1,3)

好,此时我们已经将第四部分所需要掌握的内容全部学习完毕,如果你是一个小白,相信在此刻还是有些云里雾里,不必害怕,你之所以感觉还是有些懵的原因是这四部分的每一部分都是相互关联相互作用的,单独的任何一部分都无法实现任何具有实际意义的功能,接下来我会给大家讲解第三部分的内容,当我们将第三部分的内容和第四部分的内容结合到一起时,相信你就会更加明白该语句了。

四、第三部分——SQL中的union联合查询

相信大家通过上面的学习对select查询语句已经有了简单的了解,在这一部分我讲给大家讲解该语句的第三部分,也就是SQL中的另一种查询——联合查询。
对于联合查询的理论知识,我只给大家说如下几点,大家记背之后,就可以直接进入MySQL环境进行语句的构造,尤其是小白要去关注你自己构造的每一条联合查询语句的返回结果。

联合查询:
	格式:select 字段名1,字段名2...字段名n from 表名1 union select 字段名1,字段名2...字段名n from 表名2
	作用:联合查询用于合并两个或多个 SELECT 语句的结果集
	注意:
		1. 每个 SELECT 语句必须拥有相同数量的列
		2. 列必须拥有相似的数据类型(相似的意思是:有些数据类型间可以互相转化,比如数字字符串和数字。这就叫相似,相似就行,不是必须一模一样)
		3. 每个 SELECT 语句中的列的顺序必须相同

了解了上面的基础知识后,大家就可以自己构造union查询,观察他的返回结果了,这里我就举一个例子,小白切记要多多的尝试和观察。
这里我选择了两张表,分别是Metasploitable2下的owasp10.accounts和dvwa.users(还记得点号的作用么?它是数据库名.用户名的意思哦)

select * from owasp10.accounts limit 1; //查看owasp10.accounts的字段名
select * from dvwa.users limit 1; //查看dvwa.users的字段名

union select 1,2,3,sql,数据库,网络安全,安全,web安全
之后我们使用union select语句将这两条语句拼接到一起:

select username,password from owasp10.accounts limit 1 union select user,password from dvwa.users limit 2;

union select 1,2,3,sql,数据库,网络安全,安全,web安全
可以看到联合查询语句的返回结果就是上面那俩条语句的返回结果拼接到了一起,其中需要注意两点:

  1. union左边的select语句查询到的结果返回在union右边select语句查询到的结果的"上面"(左边的查询语句会先被执行并且返回,他把返回结果中的第1个的位置占了,后面的查询语句自然而然只能占第2个位置了,以此类推)
  2. 为什么第一个select是limit 1而联合查询的是limit 2?这里我使用limit主要是为了减少返回结果,方便大家观看,而由于SQL语句都是从左往右执行的,所以,limit 1是针对select username,password from owasp10.accounts这条语句的返回结果的,也就是他获取的是该语句查到的数据的第一条返回结果,而limit 2是针对union select user,password from dvwa.users这条语句的结果的,需要格外注意的是该语句中的union,也就是说该语句的实际返回结果是要包含第一个select语句的返回结果的,在这个基础上,我们需要用limit 2才可以获取到两个表的第一条返回结果。

上面第2点如果小白没有明白的话,可以亲自用MySQL试验一下,比如:你可以将上面的联合查询语句中的limit 2删掉,或者将limit 1删掉,或者两条limit都删掉,再或者修改一下limit后的数字。然后通过和你这俩条select语句在没有联合查询的情况下的返回结果的对比,即可明白这第2点所表达的含义。——实践出真知。

五、第四部分和第三部分的结合——union select 1,2,3语句分析

大家在有了前面union select的知识以及了解了select 12,3的返回结果后,就可以进入union select 1,2,3语句的分析了。
这里我们还是以dvwa.users来举例:

select user,password from users limit 1 union select 1,2;

union select 1,2,3,sql,数据库,网络安全,安全,web安全

select user,password from users limit 1 union select 1,2,3;

union select 1,2,3,sql,数据库,网络安全,安全,web安全
可以发现union查询将select 1,2的查询结果追加到了select user,password from users limit 1;的查询结果的后面。
并且,当联合查询语句中的列数和左边的查询语句的列数不同时会报错(还记得前面提到的联合查询知识点么?这里帮小白再次回忆一下,记忆深刻)

这就是union select 1,2,3语句的作用——可以获取select查询语句中的字段参数列表中的每个字段(在查询语句的字段参数列表中)的位置,为什么要获取select查询语句中字段参数列表中字段的顺序?因为一次SQL查询可能会查询很多的字段,这些字段并不一定都会在网站上有回显(将查询结果、成功与否等返回到页面),所以我们需要知道哪些字段可以用来显示我们SQL注入语句的查询结果,而这时,我们就需要知道字段所处的select语句中字段参数列表的位置,然后通过该字段在网页上显示我们查询的数据内容。

这一部分如果小白不明白的话,可以去DVWA Low安全等级下的 SQL Injection 漏洞环境中进行上机实操。

六、第二部分—— '和#

这里为了方便小白理解同时避开与本文无关的内容,我将DVWA低级别的源码中关键的一行SQL查询语句拿了过来,通过该语句来进行讲解:

SELECT first_name, last_name FROM users WHERE user_id = '$id'

这句代码中的双引号中包含有一个变量,该变量名为id,当我们通过网页表单提交数据时,提交的内容在服务器后台就会取代id这个变量的位置,此时该SQL语句就会变成完整的SQL查询语句被发往数据库进行查询。
这一部分中的内容可以分为两个部分,第一个部分是最前面的(-1‘ union select 1,2,3#)单引号和最后面的#号。
单引号的作用是闭合单引号。#号的作用是SQL中的注释符,在这里的目的同样是“闭合"后面的内容
说到这里小白可能还是不明白,那我们来举一个例子:
假设我的数据在数据库中的id是1,正常情况下,我通过表单提交我的id号1,此时该SQL语句就为:

SELECT first_name, last_name FROM users WHERE user_id = '1'

但如果我提交的语句是一条联合查询语句union select 1,2,3,此时该SQL语句就会变为:

SELECT first_name, last_name FROM users WHERE user_id = 'union select 1,2,3'

可以很明显的看到这是一条有点问题的联合查询语句,因为我在第一条查询语句的条件中写入了一条联合查询语句,而且此时该联合查询语句还被当作了一个字符串或者说被当作了user_id的查询条件去处理,正常情况下我们是不会存储这样的数据的,所以查询结果会为空。
因此,我们需要让左边的查询语句正常结束,那我就把我的用户id 1输入进去呗!于是就有了如下语句:

SELECT first_name, last_name FROM users WHERE user_id = '1 union select 1,2,3'

此时的SQL语句好像还是有问题,当然,大家通过代码高亮也可以看出来,我的联合查询还是被当作了user_id的查询条件去处理,而且也没有按照我预想的那样将1当作用户id进行查询,究其原因就是双引号定界字符串时把我的联合查询语句也变成了user_id的查询条件,那怎么办?我们就手动在联合查询前面加上一个单引号,来闭合1前面的那个单引号,来试试!

SELECT first_name, last_name FROM users WHERE user_id = '1' union select 1,2,3'

此时可以发现,左边的查询语句正常结束,联合查询也没有被当做user_id的查询条件去处理,而是被当作了SQL语句,这就是-1‘ union select 1,2,3#中单引号的作用——闭合单引号。

那#符号有什么用呢?对于上面这条语句,虽然看似没有任何问题,单引号也闭合了,联合查询也被当作SQL语句执行了,但是,细心的你会发现在SQL语句的最后还有一个单引号,这也会导致SQL报错,那怎么办呢?那就直接把这个末尾的单引号 包括我构造的联合查询后面的所有内容全部注释掉呗!于是就有了下面的代码:

SELECT first_name, last_name FROM users WHERE user_id = '1' union select 1,2,3#'

此时你可以发现该SQL语句就是一条完整的SQL语句了,这就是#符号的作用——它是SQL中的注释符,在-1‘ union select 1,2,3#这条语句中的作用是闭合尾部。

相信细心的小白已经发现了,我的文章中的select语句还有一处错误:我的联合查询字段数和左边的查询不一样。这会导致报错,是的没错,这里是我故意这么写的,主要原因是为了给小白再强调一下这个知识点。

七、第一部分—— -1

在讲解之前,我们需要先来回顾一下联合查询,大家还记得联合查询的返回结果么?在返回结果中会包含两个或多个查询的数据的内容,如下图:
union select 1,2,3,sql,数据库,网络安全,安全,web安全
但是,在网站上往往仅会返回查询到的第一条数据,如上图,包含我们构造的数据 1 和数据 2 的第二条查询结果的数据行就不会被显示在网页上。
那怎么让网页上显示我期望的数据呢?此时我们可以让联合查询中左边的那条查询语句返回结果为空,怎么为空呢?且听我慢慢道来。

SELECT first_name, last_name FROM users WHERE user_id = '1'

上面这条语句的意思是:从当前数据库中的users表中查询user_id为1的用户的first_name和last_name的值。

SELECT first_name, last_name FROM users WHERE user_id = '-1' union select 1,2,3#'

在数据库中数据的索引uid一般不会有负的,那在我们上面构造的这条语句中却给了user_id一个负值,这样做会导致什么样的结果呢?就会导致联合查询左边的查询结果为空,从使返回结果中有且仅有我们联合查询的结果,这样,数据库就会仅返回一条数据,这条数据就是我们期望在网页上回显的数据。

八、总结

经过本文的阅读,相信小白已经可以理解SQL注入语句中的-1' union select 1,2,3#这条语句了吧?将上面所有的内容概括为一句话就是大家常说的:判断回显位。当然,这条语句并不是固定的,要根据目标数据库返回的报错信息等各种情况来构造针对目标数据库的SQL注入语句。文章来源地址https://www.toymoban.com/news/detail-786975.html

到了这里,关于浅谈SQL注入中的-1‘ union select 1,2,3#的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • GaussDB数据库SQL系列-SQL与ETL浅谈

    目录 一、前言 二、SQL与ETL的概述 三、ETL过程中的SQL示例(GaussDB) 1、提取(Extract) 2、转换(Transform) 3、加载(Load) 四、附DataArts Studio介绍 五、小结 在SQL语言中,ETL(抽取、转换和加载)是一种用于将数据从源系统抽取到目标系统的过程。ETL过程通常包括三个阶段:抽

    2024年02月08日
    浏览(51)
  • 【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程; 如果想要学习

    2024年02月07日
    浏览(51)
  • SQL数据库的查询操作大全(select)

    1、数据库的连接、创建 2、对字段的操作:(alter table) 3、对数据的操作(插入、修改、删除) 4、数据查询(select) 5、多表查询(join on) 6、约束操作 四、数据库查询大全(select) 1、select 字段名 from 表; 2、In查询:用于 过滤 你所需要查询的内容                

    2023年04月08日
    浏览(71)
  • MSsql数据库 sql注入

    和mysql不同;每个数据库都有自己的信息总结表 四个系统数据库 master sysdatabases :所有数据库信息 name :所有数据库名 sysobjects :数据库所有对象的信息 syscolumns :字段信息 固定字段名 name 对象名 id 对象id xtype 对象类型代码 xtype=\\\'U\\\' 用户创建的表 xtype=\\\'S\\\' 系统表 model sysobjects sys

    2024年04月10日
    浏览(47)
  • DVWA中SQL注入时union出错,union排序混乱(Illegal mix of collations for operation UNION)

    目录 union排序错误 解决方式 问题:当你sql注入查询数据库表时,跳转到某个页面显示Illegal mix of collations for operation UNION 原因:说明你的union字符规则不一致导致的 小皮里安装phpMyAdmin4.8.5(Mysql管理工具) 找到数据库里的dvwa里的数据表名users,在结构里找到first_name和last_nam

    2024年02月05日
    浏览(60)
  • 【实训04】数据库SQL注入漏洞

      下载dvwa的时候其实已经通过了,但建议全部做一下,后面的要用 git clone GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA) 注入的sql: 使用sql注入查询数据库用户名和数据库名,并将用户名和数据库名写入/data/workspace/myshixun/result2中: 注入的sql语句: 使用sql注入查询dvwa数据库

    2024年02月16日
    浏览(41)
  • 【数据库】SQL注入从0到1

    目录 前言: 1.【入门】普通查询型注入: 1.0 实验环境: 1.1进行一次普通的查询: 1.2 进行注入得到用户信息: 1.2.1 执行注入: 1.2.2 注入语句分析: 1.3 整型注入与字符型注入区别: 2.【进阶】从库到列逐步注入: 2.1 预备知识: 2.1.1 union函数: 2.1.2 order by函数: 2.1.3 infor

    2024年02月05日
    浏览(49)
  • SQL中的UNION和UNION ALL的区别及用法详解、“提高SQL查询效率:UNION和UNION ALL的比较、使用实例详解SQL中的UNION和UNION ALL操作符

    UNION 和 UNION ALL 都是 SQL 中用于将多个 SELECT 语句的结果合并成一个结果集的操作符。它们都适用于需要将多个表或查询结果合并在一起的情况。但是它们的行为略有不同。 UNION 和 UNION ALL 的区别在于, UNION 会将结果集合并成一个不含重复行的结果集,而 UNION ALL 则会保留所有

    2024年02月03日
    浏览(63)
  • 渗透测试-SQL注入之核心语法获取数据库信息

    SQL实验室第一关 下载sqli-labs到phpstudy的www目录下 打开localhost/sqli-labs运行即可 (1)注入语句 ‘~’ 相当于16进制的0x7e 万能密码 \\\'or ‘1’ =\\\'1 ’ and ‘1’=‘1 ’ and 1=2 union select 1,user(),3- -+ 前面加’是为了闭合后面的’ (2)group_concat(string) (1)SQL手工注入方法 select schema_name

    2024年02月10日
    浏览(38)
  • 确保你的数据库安全:如何防止SQL注入攻击

    最近,越来越多的组织和公司受到SQL注入攻击的困扰。这种攻击可以导致数据库中的敏感信息泄露,破坏数据完整性,甚至可能导致整个系统崩溃。如果您是一名数据库管理员或网站管理员,您需要了解如何保护您的数据库免受SQL注入攻击的威胁。在本文中,小德将介绍什么

    2024年02月02日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包