(此文章是记录本人对知识理解的随手笔记,内容不肯定百分百正确,如有错误望指出并谅解)
结论:
union联合查询是为了判断SQL语句中哪个地方可以被代替,代替的地方是可以在网页上显示出来的**{ 例:若 select 1,2,3; 中的2这个地方可以被代替,我们就可以通过一些SQL语句或数据库函数(如 database())来代替2的位置,让自己需要查询到的信息显示到网页上。}**
原理:
当查询语句为:
select uid,username,password where uid='1' union select 1,2,3;
此SQL语句操作后,查询到的结果为俩行,查询结果如图所示:
第一行的内容(结果一)是union前面的SQL语句 (即select uid,username,password where uid='1' )的查询结果。第二行的内容(结果二)是union后面的SQL语句 (即select 1,2,3)的查询结果。俩行查询的结果一一对应。
例子:
1、若URL地址如图所示 : ** (id为1)**
此时服务器数据库后台查询到的结果为:
正常情况下在网页上显示的是结果一的内容:
2、但为了让union操作符后面的我们自定义的SQL语句查询到的结果显示到网页上,我们让结果一的查询结果为空,那怎么为空呢?
我们让id=-1(数据库中的uid是从1开始往后记录的,所以当id=-1时查询不到结果,结果就为空了)
此时数据库的查询结果:
原本结果二的内容就顺理成章的代替了结果一的位置,最终的查询结果也就一行(也就是原来的结果二),此时“2”和“3”就回显示在网页上:
3、前期工作做完了,我们可以利用这俩个回显点了。
利用点1:
如下图的地址栏所示,用database()函数来代替2位置的回显点来获取所使用的数据库的名字:
通过下图可以看到数据库的名字为security
其他可利用函数,可以参考另一篇文章:
(5条消息) SQL注入中可利用的函数,如database()、user(),@@datadir_头顶蜘蛛网,脚踩大水缸的博客-CSDN博客
利用点2:
原理同上,把3位置的回显点代替了。
URL地址设为:http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
该SQL语句详解,可以参考另一篇文章:详解union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘ ‘--+_头顶蜘蛛网,脚踩大水缸的博客-CSDN博客
所以最终此利用点可以让该数据库的表名显示出来,通过下图可以看到表名有emails、referers、uagents、users
版权归原作者 头顶蜘蛛网,脚踩大水缸 所有, 如有侵权,请联系我们删除。