UNION 注入

最新推荐文章于 2024-07-31 16:05:32 发布
最新推荐文章于 2024-07-31 16:05:32 发布
阅读量925 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: PortSwigger学院 # SQL注入 文章标签: 网络安全
原文链接:https://portswigger.net/web-security/sql-injection/union-attacks
本文揭示了如何在SQL注入中利用UNION关键字从其他表获取数据,包括确定列数和数据类型的方法,以及如何找到适合存储文本的列,最终演示了如何结合实际情况窃取敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文翻译自:https://portswigger.net/web-security/sql-injection/union-attacks

当应用程序易受SQL注入攻击,并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表中检索数据。这导致了SQL注入UNION的攻击。

UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果追加到原始查询中。例如:

SELECT a, b FROM table1 UNION SELECT c, d FROM table2

这个SQL查询将返回一个包含两列的结果集,包含table1中列ab,以及table2中列cd的值。

要使UNION查询工作,必须满足两个关键要求:

  • 各个查询必须返回相同数量的列。
  • 每列中的数据类型必须在各个查询之间兼容。

要执行SQL注入联合攻击,您需要确保您的攻击满足这两个要求。这通常包括弄清楚:

  • 原始查询返回了多少列?
  • 从原始查询返回的哪些列属于合适的数据类型,可以保存注入查询的结果?

确定SQL注入联合攻击所需的列数

执行SQL注入联合攻击时,有两种有效的方法可以确定从原始查询中返回了多少列。

第一种方法包括注入一系列ORDER BY子句,并递增指定的列索引,直到出现错误。例如,假设注入点是原始查询的WHERE子句中的带引号的字符串,您将提交:

' ORDER BY 1--
' ORDER BY 2--
' ORDER BY 3--
...

这一系列有效负载修改了原始查询,以便按结果集中的不同列对结果进行排序。ORDER BY子句中的列可以由其索引指定,因此您不需要知道任何列的名称。当指定的列索引超过结果集中的实际列数时,数据库将返回一个错误,例如:

The ORDER BY position number 3 is out of range of the number of items in the select list.

应用程序实际上可能会在它的HTTP响应中返回数据库错误,或者它可能会返回一个通用错误,或者干脆不返回任何结果。如果您能够检测到应用程序响应中的一些差异,那么您就可以推断出从查询中返回了多少列。

第二种方法包括提交一系列 UNION SELECT 有效负载,指定不同数量的空值:

' UNION SELECT NULL--
' UNION SELECT NULL,NULL--
' UNION SELECT NULL,NULL,NULL--
...

如果空值的数量与列的数量不匹配,数据库将返回一个错误,例如:

All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists.

同样,应用程序实际上可能会返回这个错误消息,或者可能只是返回一个一般性错误或者没有结果。当空值的数量与列的数量匹配时,数据库在结果集中返回一个额外的行,在每个列中包含空值。对结果HTTP响应的影响取决于应用程序的代码。如果你幸运的话,你会在响应中看到一些额外的内容,比如一个HTML表格上的一个额外的行。否则,空值可能会触发不同的错误,例如空指针异常。最坏的情况是,响应可能与由不正确的空值数量导致的响应无法区分,这使得这种确定列数的方法无效。

实验SQL注入联合攻击,确定查询返回的列数

笔记

  • 使用 NULL 作为从注入的 SELECT 查询返回值的原因是,每列中的数据类型必须在原始查询和注入的查询之间兼容。因为 NULL 可以转换为每种常用的数据类型,所以当列数正确时,使用 NULL 最大化了有效负载成功的机会。
  • 在Oracle上,每个 SELECT 查询都必须使用 FROM 关键字并指定一个有效的表。Oracle上有一个名为 dual 的内置表,可以用于此目的。因此,在Oracle上注入的查询需要像这样:' UNION SELECT NULL FROM DUAL--
  • 所描述的有效载荷使用双破折号注释序列 -- 来注释掉注入点之后的原始查询的剩余部分。在MySQL上,双破折号序列后面必须跟一个空格。或者,散列字符 # 可用于标识注释。
  • 有关特定于数据库的语法的更多详细信息,请参见 SQL注入备忘单。

在SQL注入联合攻击中查找具有可用数据类型的列

执行SQL注入联合攻击的原因是为了能够从注入的查询中检索结果。通常,您想要检索的感兴趣的数据是字符串形式的,因此您需要在原始查询结果中找到一个或多个数据类型为字符串数据或与字符串数据兼容的列。

已经确定了所需的列数后,您可以通过提交一系列 UNION SELECT 有效负载来探测每个列,以测试它是否可以保存字符串数据,这些有效负载依次将字符串值放入每个列中。例如,如果查询返回四列,您将提交:

' UNION SELECT 'a',NULL,NULL,NULL--
' UNION SELECT NULL,'a',NULL,NULL--
' UNION SELECT NULL,NULL,'a',NULL--
' UNION SELECT NULL,NULL,NULL,'a'--

如果列的数据类型与字符串数据不兼容,则注入的查询将导致数据库错误,例如:

Conversion failed when converting the varchar value 'a' to data type int.

如果没有出现错误,并且应用程序的响应包含一些附加内容,包括注入的字符串值,那么相关的列适合于检索字符串数据。

实验SQL注入联合攻击,找到一个可以包含文本的列

使用SQL注入联合攻击来检索敏感的数据

当您确定了原始查询返回的列数并找到了哪些列可以保存字符串数据时,您就可以检索感兴趣的数据了。

假设有这些情况:

  • 原始查询返回两列,这两列都可以保存字符串数据。
  • 注入点是 WHERE 子句中带引号的字符串。
  • 该数据库包含一个名为 users 的表,其中包含用户名和密码列。

在这种情况下,您可以通过提交输入来检索 users 表的内容:

' UNION SELECT username, password FROM users--

当然,执行此攻击所需的关键信息是,有一个名为 users 的表,其中有两列名为 usernamepassword。没有这些信息,您只能猜测表和列的名称。事实上,所有现代数据库都提供了检查数据库结构的方法,以确定它包含哪些表和列。

实验SQL注入联合攻击,从其他表中检索数据

在一列中检索多个值

在前面的示例中,假设查询只返回一列。

通过将这些值串联在一起,可以很容易地在这个单独的列中一起检索多个值,理想的情况是包含一个合适的分隔符来区分组合的值。例如,在Oracle上,您可以提交输入:

' UNION SELECT username || '~' || password FROM users--

这使用双管序列 || ,它是Oracle上的字符串连接运算符。注入的查询将 usernamepassword 字段的值连接在一起,用 ~ 字符分隔。

查询结果将让您读取所有用户名和密码,例如:

...
administrator~s3cure
wiener~peter
carlos~montoya
...

请注意,不同的数据库使用不同的语法来执行字符串连接。有关更多详细信息,请参见 SQL注入备忘单。

实验SQL注入联合攻击,在一列中检索多个值

portswigger之SQL注入实验室笔记
m0_69349614的博客
07-06 1412
该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。这种攻击的第一步是确定查询返回的列数。然后,您将在后续实验中使用此技术来构建完整的攻击。要解决该实验,请通过执行SQL 注入 UNION攻击来确定查询返回的列数,该攻击会返回包含空值的附加行。'+ORDER+BY+3--'+UNION+SELECT+NULL,NULL,NULL--该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因
【SQL注入漏洞-02】union注入(联合查询)靶场实战
cc
02-01 6999
为了更清楚的看清sql语句的执行与变化过程,我们先修改源代码,打开Less-1/index.php,在源码中添加如下语句将执行的sql语句打印出来,方便我们查看。我们观察页面会发现,当我们输入id=1和id=2时,页面中的name和password的值是不一样的,说明我们输入的数据和数据库有交互并且将数据显示到页面上了。如果不知道表名也不影响,根据mysql数据库特性,select语句在执行的过程中,并不需要指定表名。,页面发生报错,说明后端未对前端发送的数据没有很好的过滤,产生了sql注入漏洞。
SQL注入——数字型union联合注入
heyingcheng的博客
03-05 416
联合查询union默认只显示union前一段语句查询到的结果,我们将id改为一个不存在的数字,从而使前一段语句查询不到结果,显示出最后一段语句查询到的内容。输入’判断是否存在注入点,如果报错则存在注入点。因为是数字型注入,所以根本不用考虑闭合方式。用and语句判断数字型还是字符型。所以判断是数字型注入
union注入
weixin_43858799的博客
04-01 604
一、union注入 基于union的信息获取: union联合查询:可以通过联合查询来查询指定的数据 用法举例: select username,password from user where id =1 union select 字段1,字段2 from 表名 先登入PHPmyadmin 进入pikachu的数据库中 得到此结果 上述为一般查询 union查询: 除了通过遍历查询数...
SQL注入-UNION注入
李二胖的博客
04-16 267
SQL注入攻击union注入攻击 union注入攻击 使用wamp构造测试环境 通过以上两步发现数据库表字段数为3随后执行union select 1,2,3,并将ID值设置为-1可以返回union select的结果 在2和3的位置可以执行一些查询命令,在2的位置查询数据库名 得知数据库名后可以进行表名查询 尝试查询字段名 获取字段数据 ...
SQL注入——union查询注入_报错注入 笔记
mikeyning的博客
07-15 1680
SQL注入——union查询注入_报错注入 学习环境 Centos7 sqli-labs union查询注入 1.UNION UNION操作符用于合并两个或多个SELECT语句的结果集 PS:UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELELCT 语句中列的顺序必须相同 默认情况,UNION操作符选取不同的值。如果允许重复的值,请使用 UNION ALL 2.UNION注入应用场景 a,只要UNION连接的几个查询的字段数一样且列的数据类型转换没有
CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap的入门使用,两种方法一道题
07-16
### CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap的入门使用 #### 知识点一:SQL注入基础与Union注入原理 **SQL注入**是一种常见的网络安全攻击方式,通过将恶意SQL代码插入应用程序接收的数据中,进而操纵...
超级SQL注入工具,支持布尔盲注,报错盲注,union注入
03-27
超级SQL注入工具目前支持Bool型盲注、错误显示注入Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
后台Union注入绕过验证1
08-08
标题中的“后台Union注入绕过验证1”是指在Web应用程序中,攻击者通过利用SQL注入漏洞,特别是使用UNION查询的方式,绕过系统的身份验证机制。这种攻击手段常见于ASP编程语言构建的网站,因为描述中提到了ASP程序中...
union注入之字符型注入和数值型注入
ws1813004226的博客
05-12 810
什么是SQL注入? SQL注入就是web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带进数据库查询,攻击者可以通过构造不同的SQL语句实现对数据库的任意操作。 字符型注入 判断方法:当输入的参数类型为字符型时,数据库执行的查询语句为:select * from users where id=‘x’,我们可以使用’1’=‘1和’1’=‘2判断是否存在SQL注入。 url 地址中输入 http://xxx/abc.php?id= x’ and ‘1’=‘1 页面运行正常,继
UNION operator must have an equal number of expressions
天马行空
08-18 2812
做SQL统计报表的时候,调试报错如下: Msg 205, Level 16, State 1, Line 1 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists. 说
【SQL】SQL注入漏洞及相关实验(更新中)精华!不看就亏了!
weixin_45844670的博客
08-26 1764
SQL注入原理:SQL注入的原理其实并不难理解,Web应用程序后台获取用户输入并将其拼接到SQL查询语句中进行执行,而这里的用户输入就是我们可以构造恶意payload的地方,通过一些技巧使得查询语句按照我们所希望的方式执行即可完成一次成功的SQL注入。正如大多数的Web漏洞一样,究其漏洞本质就是未验证用户输入,没有实现输入数据与程序执行语句的分离。 但是由于存在不同的数据库(如常见的Oracle、SQL Server、Mysql等)所导致的具有微小差异性的SQL语句实现,以及我们无法直接观察到后台的查询逻辑
数据库查询报错must have an equal number of expressions in their target lists
lingsyz的博客
05-16 451
两个表进行合并merge的时候,列名不一致导致报错。must have an equal number of expressions in their target lists
SQL injection : UNION attacks
Zeker62的博客
08-17 465
当应用程序易受SQL注入攻击并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表检索数据。这将导致SQL注入联合攻击。 UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果附加到原始查询。例如: SELECT a, b FROM table1 UNION SELECT c, d FROM table2 此SQL查询将返回一个包含两列的结果集,其中包含table_1中a列和b列以及table_2中c列和d列的值。 要使联合查询正常工作,必须满足两个关键要求:
【BurpSuite官方实验室】SQL联合注入
weixin_52137383的博客
03-23 4985
1.Determining the number of columns required in an SQL injection UNION attack To carry out an SQL injection UNION attack, you need to ensure that your attack meets these two requirements. This generally involves figuring out: How many columns are being r
SQL注入之联合查询注入
2201_75572825的博客
07-31 767
输入1asdf,即数字加上字符,若页面不报错,则为字符型,若报错,则为数字型因为页面无报错,则题目为字符型注入
SQL注入UNION攻击,确定查询返回的列数定义目录标题
lindahhhjhhh的博客
09-07 794
知识点:方法2知识点。
在 SQL 注入 UNION 攻击中查找具有有用数据类型的列
lindahhhjhhh的博客
09-11 534
在portswigger上做SQL注入实验做到UNION板块第三个实验
SQL注入union联合注入
hobby云说
06-12 3830
特别申明 本文章仅供学习使用,其余利用本文章内容进行的任何行为与本人无关!做任何渗透操作前,请一定三思,做个遵纪守法的好公民! 简介 在初见SQL注入提到三种分类方式,其中一个是根据注入是否有回显来进行分类,本文将详细讲解有回显这类的注入方式。有有回显的注入,顾名思义,程序会将后端执行SQL查询语句的结果,返回显到页面中,通过各种巧妙的方式让各种你想要知道的关键信息显示在页面中。有回显的注入常见的有联合注入和报错注入,本文将详细讲解union联合注入。 正文 ...
构造UNION注入,利用SQL语句
最新发布
04-03
### SQL Union 注入技术示例 SQL Union 注入是一种常见的攻击方式,它利用 `UNION` 运算符将恶意查询附加到原始查询上,从而获取额外的数据。以下是实现此技术的一个具体例子: 假设存在一个易受攻击的 Web 应用程序,其 URL 参数如下所示: ``` http://example.com/page.php?id=1 ``` 如果应用程序未正确验证输入,则可以尝试构造以下 SQL 查询来执行 UNION 攻击。 #### 构造 UNION 查询 ```sql SELECT column1 FROM table WHERE id = 1 UNION SELECT password FROM users; ``` 在这个例子中,攻击者试图通过添加 `UNION SELECT` 子句从另一个表(如 `users` 表)检索数据[^1]。为了成功完成这一操作,需满足以下几个条件: - 原始查询和附加查询返回相同数量的列。 - 列的数据类型兼容。 #### 实际案例分析 考虑下面的情况,其中用户名和密码字段注入恶意字符串 `' OR '1'='1`[^3]。这可能导致数据库忽略实际的身份验证逻辑并返回所有记录。然而,在更复杂的场景下,攻击者可能需要进一步探索目标系统的结构。 例如,当面对非标准格式的 URL 输入时,工具如 sqlmap 可能不会自动识别潜在漏洞位置[^4]。此时可以通过手动指定测试点解决该问题。 #### 使用 Sqlmap 自动化检测 Sqlmap 是一款强大的自动化渗透测试工具,能够帮助发现多种类型的 SQL 注入缺陷。对于上述提到的复杂路径情况,命令行选项可设置为: ```bash sqlmap -u "http://www.site.com/class_name/strategy/*/*/80" --risk=3 --level=5 ``` 这里星号标记了希望扫描的具体部分。增加风险级别 (`--risk`) 和深入程度 (`--level`) 能够提高探测效率但同时也增加了误报的可能性。 #### 防范措施实例 为了避免遭受此类攻击,推荐采用预编译语句或者存储过程等方式处理动态构建的 SQL 请求[^2]。比如在 Java 中使用 PreparedStatement 类型对象代替常规 String 拼接方法编写数据库交互代码片段。 ```java String query = "SELECT * FROM Users WHERE username=? AND password=?"; PreparedStatement pstmt = connection.prepareStatement(query); pstmt.setString(1, userInputName); pstmt.setString(2, userInputPassword); ResultSet rs = pstmt.executeQuery(); ``` 这样即使用户提供特殊字符也不会影响最终形成的合法指令串安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值