sql注入基础-mysql联合注入

最新推荐文章于 2025-06-18 17:35:07 发布
最新推荐文章于 2025-06-18 17:35:07 发布
阅读量667 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: sql注入 文章标签: sql 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Redredredfish/article/details/121770238
本文详细解析SQL注入中的联合注入原理,涉及数字型与字符型注入案例,通过orderby/groupby判断字段数,以及unionselect技术进行库表字段数据爆破。了解其危害并掌握常见注入点的识别方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mysql联合注入

原理

sql注入攻击的本质就是把用户输入的参数当做SQL语句来执行,Web应用程序对用户输入数据的合法性没有进行判断和过滤,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。

造成sql注入需要满足两个条件:
1.用户输入可控
2.输入参数被拼接成sql语句执行

危害

敏感信息泄露,获取数据权限,上传webshell,执行命令,篡改网页信息等

常见注入点

  1. GET/POST/PUT/DELETE参数
  2. http头注入(X-Forwarded-For)
  3. 文件名
  4. cookie注入

判断注入点

以下所有例子以mysql为主,且没有任何防护

注入点参数类型主要有数字型以及字符型,注入返回的数据不一定会反映在前端页面上,比如POST参数的注入,所以在寻找sql注入的时候需要时刻关注数据包。

数字型注入

当输入的参数为整型(int)时,则有可能存在数字型注入漏洞。

假设后台 SQL 语句为:

select * from users where id=1

① 输入参数:单引号 '
SQL 语句变为:

select * from users where id=1'

不符合语法,所以该语句会出错,导致脚本程序无法从数据库获取数据,从而使原来的页面出现异常。

② 输入 and 1 = 1

SQL语句变为:

select * from users where id=1 and 1 = 1

语法正确,执行正常,返回的数据与原始请求无差异。

③ 在数据库中输入 and 1 = 2

SQL 语句变为:

select * from users where id=1 and 1 = 2

语法正确,逻辑错误,因为 1 = 2 为永假,所以返回数据与原始请求有差异。

如果以上三个步骤全部满足,则程序就可能存在数字型 sql 注入漏洞。

字符型注入

同理,字符型注入即注入的参数为字符型(char),判断依据与数字型大致相同,不同的是,判断字符型注入需要先闭合''
例如,后台 SQL 语句为:

select * from users where id=''

利用'1'='1'永真、'1'='2'永假来判断,'闭合前一个单引号,注释符--空格 或者--#消除后一个单引号

select * from users where id='1' and '1' = '1' -- '
select * from users where id='1' and '1' = '2' -- '

两种语句均能正常执行,但永假语句不会返回数据或有明显差异

注入类型

判断完注入点参数类型即可用各种方法进行sql注入,字符型注意闭合即可。

常见sql注入类型有:联合注入、堆叠注入、报错注入、盲注(布尔和时间)、宽字节注入、偏移注入等。

联合注入

联合注入最主要的函数即union

在mysql中,union用于连接两个以上的 select 语句,并将结果组合到一个集合中。多个查询语句会删除重复的数据。

注入流程大致为:

确定字段数->确定回显位置->爆库->爆表->爆字段->爆数据

确定字段数

order by/group by函数

order by/group by函数可以将查询数据排序后再返回数据
例如

select * from users where id=1 order by 1,2,3

表示查询结果根据第1、2、3字段排序输出

利用order by函数参数超出字段个数会报错的机制,可以判断出字段个数
例如表中只有3个字段
在这里插入图片描述
order by 4会报错,order by 3则不会,由此可以判断有3个字段

确定回显位置

union select
select * from users where id =11111111 union select 1,2,3

前一个查询语句select * from users where id =11111111 设置不存在的id参数会返回字段没有字段值;
后一个查询语句select 1,2,3 会返回字段值1,2,3没有字段;
两个查询语句的结果联合起来会返回正常字段,只不过字段值是1,2,3。
这时候如果页面上显示了’2’,说明’2’这个位置的参数是有回显的,这里就确定了回显位置,可以替换成别的参数,如database(),从而进行下一步爆破库、表、字段、数据的操作。
要注意一点的是,id参数要确保不存在数据库中,否则查询结果聚合后会对判断造成干扰。

爆库、表、字段、数据

mysql> =5.0版本提供了 infomation_schema库,这是一个信息数据库,它提供了访问数据库元数据的方式。

①information_schema.schemata表中字段schema_name存储了所有库的名称。
在这里插入图片描述
②information_schema.tables表中字段table_schema、table_name存储了所有库拥有的表名称。
在这里插入图片描述
③information_schema.columns表中字段table_schema、table_name、column_name存储了库、表、字段。
在这里插入图片描述
综上只要获取库(schema_name/table_schema)、表(table_name)、字段(column_name)就可以查询出数据。

tips:
①当回显只有一条时,为了提高效率,可以使用limit 0,x,或group_concat()函数
②当前库名不一定存在于schema_name中,可以使用database()查询当前数据库,类似的还有
version() MySQL 版本
user() 数据库用户名
database() 数据库名
@@datadir 数据库路径
@@version_compile_os 操作系统版本
select user,host from mysql.user 查询所有用户
select * from mysql.user where user=‘xxx’ 查询用户权限

Mysql注入之一 联合注入
笨蛋9的博客
02-17 3291
一 前言作者也在学习web安全,可能文章中或多或少存在一些错误内容。写些手工注入的文章,一方面能加深对这部分知识的印象,一方面也能大家互相学习。 有人可能问:数据库注入不是有很多非常强大的工具,如sqlmap,为什么还要去花些时间去学习手工注入。虽然使用sqlmap等注入工具能很轻松的对拖一个存在注入漏洞无安全狗的网站的数据库,但却无法知道注入的全过程,不方便后续写一些自动化测试的脚本,同时由于是
mysql联合注入
qq_42409373的博客
06-10 290
union操作符: 用于合并两个或多个查询语句的结果。 union内部的select语句必须拥有相同的数量的列,列也必须拥有相似的数据类型,同时,每条select语句中的列的顺序必须完全相同 union语法: union select column(s) from table union select column(s) from table union all select column(s) from table union select column(s) from table 注:如果前后两条
MYSQL联合注入
qq_39654116的博客
01-04 319
目录简介特定变量查询步骤Mysql版本<5.0Mysql版本>=5.0注入语句 简介 联合注入是使用了union select联合查询,通常用来拼接在where后面,联合注入的优势是自带多个显位,可以很快爆出数据,缺点是只能用在select最后处,后面如果还有sql语句就必须注释掉。而且必须用到unionselect,很容易被拦截 特定变量 1\. SCHEMATA表 : 提供了当前mysql实例中所有数据库的信息。 2\. TABLES 表 : 提供了关于数据库中的表的信息。 3\. C
SQL注入分类,一看你就明白了,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
06-18 1043
字符可以使用单引号包裹,也可以使用双引号包裹,根据包裹字符串的「引号」不同,字符型注入可以分为:「单引号字符型」注入「双引号字符型」注入。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」参数使用「单引号」包裹时,叫做单引号字符型注入,比如下面这个SQL,就是单引号字符型注入。参数使用「双引号」包裹时,叫做双引号字符型注入,比如下面这个SQL,就是双引号字符型注入。后台对应的SQL如下,字段类型是字符型,这种就是字符型注入
mysql 联合查询注入
broing55的博客
01-07 597
一. dvwa sql注入 low mid high Low 1.输入1提交 2.输入1’提交 3.输入1 and 1=1 提交 4. 输入1 and 1=2 提交 源码: 列数:2 爆个数据库数据库里的表: 表里的表头: 查userpassword: 二.medium级别 使用抓包软件bp抓包 当id=1’ ...
mysql联合注入_SQL 注入:联合注入
weixin_30585729的博客
01-20 210
SQL注入一直都是web安全的主要漏洞之一,数年来仍旧是最常见的漏洞,其主要是因为前后端进行数据交互时注入恶意的SQL语句,导致最终执行的语句拼接。往往是因为开发人员防护不严,导致未过滤敏感字符。联合注入联合注入是比较常见的一种,可以说是开发人员没有进行任何过滤。这里用PHP来进行简单的数据交互源代码:$id=$_GET['id'];$conn=mysqli_connect("localhost"...
墨者学院之SQL注入实战--MySQL
Chris_HackFromCN的博客
08-10 1018
目录手工注入工具注入(中转型)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 手工注入 辅助工具:小葵多功能转换工具 作用:编码解码、加密解密 1.首先,启动靶场环境,根据URL显示,可知目标
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
sql注入之墨者SQL手工注入漏洞(MYSQL)解析
MIKULIN的博客
08-25 1227
这个界面就是个登录页面,但除此之外下方还有一个平台停机维护的通知链接,这极大可能也是个注入点,咱可以点进去看一看(我第一次还想不到的,直接乱输的账号密码,输入账号密码(这样也会与数据库有数据交互),设置代理用bp进行数据抓包,这样也是一种方法,本文讲的另一种,用新装的hackbar插件来进行,嘿嘿)1.sql注入产生原理:在web应用程序从数据库取出相关数据进行显示时,要通过相应的SQL语句进行执行数据查询,如果不对输入语句进行适当的过滤验证,当攻击者执行恶意的SQL语句时,就可以查询其他的数据。
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle...
SQL注入工具-御剑
06-07
【描述】:“SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑” 描述中的重复部分强调了御剑作为SQL注入工具的核心属性。SQL注入是黑客通过构造恶意的SQL语句...
MySQL联合注入
yuan_boss的博客
08-23 329
通过information_schema库的COLUMNS,查询表字段table_name,值为cms_users的字段信息,并且使用GROUP_CONCAT()函数将所有的字段名打印出来,然后转换为hex,将结果进行解码即可获得字段名。利用order by的特性----他可以指定列的顺序来进行排序,所以可以在order by后面直接加数字,表示按照第几列排序,一旦数字超过了列数,就会报错,从而可以推算出字段数。字符型注入中,哪个符号引发的报错,就代表是哪个符号的字符型注入。比如,这里获得的数据库表名是。
SQL注入
weixin_33696106的博客
12-19 134
一、SQL注入简介   SQL注入SQL Injection),通过构建SQL代码相关的特殊输入,作为参数传递到服务器,服务器解析并执行SQL语句进而达到攻击者所要的操作。如:通过提交一段数据库查询代码,根据程序返回的结果,获得某些攻击者想得知的数据;或通过控制部分SQL语句,攻击者可以利用数据库的一些特性,直接获取数据库服务器的系统权限。   发生SQL注入的主要原因是程序没有细致地过滤用...
SQL注入union 联合注入
weixin_53711701的博客
01-16 6012
SQL注入union联合注入
SQL联合查询注入
cooorgi的博客
04-27 1119
一般利用英文**单引号(')双引号(")**来判断是否存在漏洞,如果出现SQL语句错误说明有很大的可能会存在漏洞。能会存在漏洞。比如某网站的URL为http://192.168.234.128/DVWA/vulnerabilities/sqli/?此时服务器就会从users表中把满足user_id=1这个条件的行(记录)的first_name, last_name查询出来。
sql注入联合注入
m0_59576693的博客
09-19 766
sql联合注入联合注入细节以及联合注入流程联合注入payload
MySQl联合注入实战
weixin_45118086的博客
03-19 438
MySQl联合注入 一个真.入门级的MySQl联合注入 靶场地址:靶场 目标:拿到管理员账号密码 1、寻找注入点 点击查看新闻,注意URL的变化 可以发现有了一个查询值id=1.于是,开始我们的第一步,探测注入点。 把?之后的数据改为: id = 1 and 1=2 刷新页面之后长这个样子: 2、判断字段数,以用来进行联合注入 借助order by来进行探测,经过探测,可以得知查询的字段数为2 因此,union查询的字段数也应该为2 3、判断回显点 使用这个语句来判断回显点 union select
超级SQL注入工具-web-sql:HTTP协议SQL注入的利器
2. 支持各种类型的SQL注入:工具可以执行不同类型的SQL注入攻击,包括但不限于Bool型盲注(布尔盲注)、错误显示注入(错误基础SQL注入)、Union注入联合查询注入)。每种攻击方式针对不同的数据库环境配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Redredredfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值