UNION 注入

最新推荐文章于 2024-07-31 16:05:32 发布
翻译 最新推荐文章于 2024-07-31 16:05:32 发布 · 969 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://portswigger.net/web-security/sql-injection/union-attacks
文章标签:

#网络安全

本文揭示了如何在SQL注入中利用UNION关键字从其他表获取数据,包括确定列数和数据类型的方法,以及如何找到适合存储文本的列,最终演示了如何结合实际情况窃取敏感信息。

本文翻译自:https://portswigger.net/web-security/sql-injection/union-attacks

当应用程序易受SQL注入攻击,并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表中检索数据。这导致了SQL注入UNION的攻击。

UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果追加到原始查询中。例如:

SELECT a, b FROM table1 UNION SELECT c, d FROM table2

这个SQL查询将返回一个包含两列的结果集,包含table1中列ab,以及table2中列cd的值。

要使UNION查询工作,必须满足两个关键要求:

  • 各个查询必须返回相同数量的列。
  • 每列中的数据类型必须在各个查询之间兼容。

要执行SQL注入联合攻击,您需要确保您的攻击满足这两个要求。这通常包括弄清楚:

  • 原始查询返回了多少列?
  • 从原始查询返回的哪些列属于合适的数据类型,可以保存注入查询的结果?

确定SQL注入联合攻击所需的列数

执行SQL注入联合攻击时,有两种有效的方法可以确定从原始查询中返回了多少列。

第一种方法包括注入一系列ORDER BY子句,并递增指定的列索引,直到出现错误。例如,假设注入点是原始查询的WHERE子句中的带引号的字符串,您将提交:

' ORDER BY 1--
' ORDER BY 2--
' ORDER BY 3--
...

这一系列有效负载修改了原始查询,以便按结果集中的不同列对结果进行排序。ORDER BY子句中的列可以由其索引指定,因此您不需要知道任何列的名称。当指定的列索引超过结果集中的实际列数时,数据库将返回一个错误,例如:

The ORDER BY position number 3 is out of range of the number of items in the select list.

应用程序实际上可能会在它的HTTP响应中返回数据库错误,或者它可能会返回一个通用错误,或者干脆不返回任何结果。如果您能够检测到应用程序响应中的一些差异,那么您就可以推断出从查询中返回了多少列。

第二种方法包括提交一系列 UNION SELECT 有效负载,指定不同数量的空值:

' UNION SELECT NULL--
' UNION SELECT NULL,NULL--
' UNION SELECT NULL,NULL,NULL--
...

如果空值的数量与列的数量不匹配,数据库将返回一个错误,例如:

All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists.

同样,应用程序实际上可能会返回这个错误消息,或者可能只是返回一个一般性错误或者没有结果。当空值的数量与列的数量匹配时,数据库在结果集中返回一个额外的行,在每个列中包含空值。对结果HTTP响应的影响取决于应用程序的代码。如果你幸运的话,你会在响应中看到一些额外的内容,比如一个HTML表格上的一个额外的行。否则,空值可能会触发不同的错误,例如空指针异常。最坏的情况是,响应可能与由不正确的空值数量导致的响应无法区分,这使得这种确定列数的方法无效。

实验SQL注入联合攻击,确定查询返回的列数

笔记

  • 使用 NULL 作为从注入的 SELECT 查询返回值的原因是,每列中的数据类型必须在原始查询和注入的查询之间兼容。因为 NULL 可以转换为每种常用的数据类型,所以当列数正确时,使用 NULL 最大化了有效负载成功的机会。
  • 在Oracle上,每个 SELECT 查询都必须使用 FROM 关键字并指定一个有效的表。Oracle上有一个名为 dual 的内置表,可以用于此目的。因此,在Oracle上注入的查询需要像这样:' UNION SELECT NULL FROM DUAL--
  • 所描述的有效载荷使用双破折号注释序列 -- 来注释掉注入点之后的原始查询的剩余部分。在MySQL上,双破折号序列后面必须跟一个空格。或者,散列字符 # 可用于标识注释。
  • 有关特定于数据库的语法的更多详细信息,请参见 SQL注入备忘单。

在SQL注入联合攻击中查找具有可用数据类型的列

执行SQL注入联合攻击的原因是为了能够从注入的查询中检索结果。通常,您想要检索的感兴趣的数据是字符串形式的,因此您需要在原始查询结果中找到一个或多个数据类型为字符串数据或与字符串数据兼容的列。

已经确定了所需的列数后,您可以通过提交一系列 UNION SELECT 有效负载来探测每个列,以测试它是否可以保存字符串数据,这些有效负载依次将字符串值放入每个列中。例如,如果查询返回四列,您将提交:

' UNION SELECT 'a',NULL,NULL,NULL--
' UNION SELECT NULL,'a',NULL,NULL--
' UNION SELECT NULL,NULL,'a',NULL--
' UNION SELECT NULL,NULL,NULL,'a'--

如果列的数据类型与字符串数据不兼容,则注入的查询将导致数据库错误,例如:

Conversion failed when converting the varchar value 'a' to data type int.

如果没有出现错误,并且应用程序的响应包含一些附加内容,包括注入的字符串值,那么相关的列适合于检索字符串数据。

实验SQL注入联合攻击,找到一个可以包含文本的列

使用SQL注入联合攻击来检索敏感的数据

当您确定了原始查询返回的列数并找到了哪些列可以保存字符串数据时,您就可以检索感兴趣的数据了。

假设有这些情况:

  • 原始查询返回两列,这两列都可以保存字符串数据。
  • 注入点是 WHERE 子句中带引号的字符串。
  • 该数据库包含一个名为 users 的表,其中包含用户名和密码列。

在这种情况下,您可以通过提交输入来检索 users 表的内容:

' UNION SELECT username, password FROM users--

当然,执行此攻击所需的关键信息是,有一个名为 users 的表,其中有两列名为 usernamepassword。没有这些信息,您只能猜测表和列的名称。事实上,所有现代数据库都提供了检查数据库结构的方法,以确定它包含哪些表和列。

实验SQL注入联合攻击,从其他表中检索数据

在一列中检索多个值

在前面的示例中,假设查询只返回一列。

通过将这些值串联在一起,可以很容易地在这个单独的列中一起检索多个值,理想的情况是包含一个合适的分隔符来区分组合的值。例如,在Oracle上,您可以提交输入:

' UNION SELECT username || '~' || password FROM users--

这使用双管序列 || ,它是Oracle上的字符串连接运算符。注入的查询将 usernamepassword 字段的值连接在一起,用 ~ 字符分隔。

查询结果将让您读取所有用户名和密码,例如:

...
administrator~s3cure
wiener~peter
carlos~montoya
...

请注意,不同的数据库使用不同的语法来执行字符串连接。有关更多详细信息,请参见 SQL注入备忘单。

实验SQL注入联合攻击,在一列中检索多个值

SQL injection : UNION attacks
Zeker62的博客
08-17 488
当应用程序易受SQL注入攻击并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表检索数据。这将导致SQL注入联合攻击。 UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果附加到原始查询。例如: SELECT a, b FROM table1 UNION SELECT c, d FROM table2 此SQL查询将返回一个包含两列的结果集,其中包含table_1中a列和b列以及table_2中c列和d列的值。 要使联合查询正常工作,必须满足两个关键要求:
【BurpSuite官方实验室】SQL联合注入
weixin_52137383的博客
03-23 5093
1.Determining the number of columns required in an SQL injection UNION attack To carry out an SQL injection UNION attack, you need to ensure that your attack meets these two requirements. This generally involves figuring out: How many columns are being r
UNION operator must have an equal number of expressions
天马行空
08-18 2881
做SQL统计报表的时候,调试报错如下: Msg 205, Level 16, State 1, Line 1 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists. 说
SQL注入——数字型union联合注入
heyingcheng的博客
03-05 449
联合查询union默认只显示union前一段语句查询到的结果,我们将id改为一个不存在的数字,从而使前一段语句查询不到结果,显示出最后一段语句查询到的内容。输入’判断是否存在注入点,如果报错则存在注入点。因为是数字型注入,所以根本不用考虑闭合方式。用and语句判断数字型还是字符型。所以判断是数字型注入
union注入
weixin_43858799的博客
04-01 623
一、union注入 基于union的信息获取: union联合查询:可以通过联合查询来查询指定的数据 用法举例: select username,password from user where id =1 union select 字段1,字段2 from 表名 先登入PHPmyadmin 进入pikachu的数据库中 得到此结果 上述为一般查询 union查询: 除了通过遍历查询数...
CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap的入门使用,两种方法一道题
07-16
### CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap的入门使用 #### 知识点一:SQL注入基础与Union注入原理 **SQL注入**是一种常见的网络安全攻击方式,通过将恶意SQL代码插入应用程序接收的数据中,进而操纵...
超级SQL注入工具,支持布尔盲注,报错盲注,union注入
03-27
超级SQL注入工具目前支持Bool型盲注、错误显示注入Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
【SQL注入漏洞-02】union注入(联合查询)靶场实战
cc
02-01 7074
为了更清楚的看清sql语句的执行与变化过程,我们先修改源代码,打开Less-1/index.php,在源码中添加如下语句将执行的sql语句打印出来,方便我们查看。我们观察页面会发现,当我们输入id=1和id=2时,页面中的name和password的值是不一样的,说明我们输入的数据和数据库有交互并且将数据显示到页面上了。如果不知道表名也不影响,根据mysql数据库特性,select语句在执行的过程中,并不需要指定表名。,页面发生报错,说明后端未对前端发送的数据没有很好的过滤,产生了sql注入漏洞。
后台Union注入绕过验证1
08-08
标题中的“后台Union注入绕过验证1”是指在Web应用程序中,攻击者通过利用SQL注入漏洞,特别是使用UNION查询的方式,绕过系统的身份验证机制。这种攻击手段常见于ASP编程语言构建的网站,因为描述中提到了ASP程序中...
SQL注入-UNION注入
李二胖的博客
04-16 284
SQL注入攻击union注入攻击 union注入攻击 使用wamp构造测试环境 通过以上两步发现数据库表字段数为3随后执行union select 1,2,3,并将ID值设置为-1可以返回union select的结果 在2和3的位置可以执行一些查询命令,在2的位置查询数据库名 得知数据库名后可以进行表名查询 尝试查询字段名 获取字段数据 ...
portswigger之SQL注入实验室笔记
m0_69349614的博客
07-06 1472
该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。这种攻击的第一步是确定查询返回的列数。然后,您将在后续实验中使用此技术来构建完整的攻击。要解决该实验,请通过执行SQL 注入 UNION攻击来确定查询返回的列数,该攻击会返回包含空值的附加行。'+ORDER+BY+3--'+UNION+SELECT+NULL,NULL,NULL--该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因
SQL注入——union查询注入_报错注入 笔记
mikeyning的博客
07-15 1737
SQL注入——union查询注入_报错注入 学习环境 Centos7 sqli-labs union查询注入 1.UNION UNION操作符用于合并两个或多个SELECT语句的结果集 PS:UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELELCT 语句中列的顺序必须相同 默认情况,UNION操作符选取不同的值。如果允许重复的值,请使用 UNION ALL 2.UNION注入应用场景 a,只要UNION连接的几个查询的字段数一样且列的数据类型转换没有
【SQL】SQL注入漏洞及相关实验(更新中)精华!不看就亏了!
weixin_45844670的博客
08-26 1815
SQL注入原理:SQL注入的原理其实并不难理解,Web应用程序后台获取用户输入并将其拼接到SQL查询语句中进行执行,而这里的用户输入就是我们可以构造恶意payload的地方,通过一些技巧使得查询语句按照我们所希望的方式执行即可完成一次成功的SQL注入。正如大多数的Web漏洞一样,究其漏洞本质就是未验证用户输入,没有实现输入数据与程序执行语句的分离。 但是由于存在不同的数据库(如常见的Oracle、SQL Server、Mysql等)所导致的具有微小差异性的SQL语句实现,以及我们无法直接观察到后台的查询逻辑
数据库查询报错must have an equal number of expressions in their target lists
lingsyz的博客
05-16 489
两个表进行合并merge的时候,列名不一致导致报错。must have an equal number of expressions in their target lists
SQL注入之联合查询注入
最新发布
2201_75572825的博客
07-31 794
输入1asdf,即数字加上字符,若页面不报错,则为字符型,若报错,则为数字型因为页面无报错,则题目为字符型注入
sql注入(Union注入攻击)
m0_65463546的博客
12-08 1486
这段时间自我摸索着学习了下sql注入,学习的过程中发现了一些小白学习初期可能会犯的错误,也想把自己学习过程中的心得与体会分享给大家,希望能帮助到大家!好了,接下来就开始我们的正题!在数据库中,当我们需要将两个表的查询内容合并到一张表去显示,就需要使用我们的Union去拼接。例如:select 字段1,字段2,字段3 from为什么会报错?即两表查询字段数量不一致。
Union注入
m0_74312676的博客
07-20 1215
但这只是一个列的名字,我们知道一个库中是有许许多多列的,于是我们进一步细化,table_schema表示的是数据库,database() 是一个函数,返回的是当前数据库的名字。利用phpMyAdmin查询数据库可以发现,id=1的内容有两列,但是我们回显的内容只有一列,于是便会回显id=1的第一列的内容。使用union select 查询,1,2,3表示的是三列的意思,也可以用其他数字来代替,只要是三个数字代表三列就行。分析报错信息:看\后面跟着的字符,是什么字符,它的闭合字符就是什么。
关于出现“使用 UNION、INTERSECT 或 EXCEPT 运算符合并的所有查询必须在其目标列表中有相同数目的表达式”错误的可能原因
热门推荐
阿亮减肥中
11-07 1万+
最近做一个项目,客户不肯给表的权限,只给了一些视图,结果联合查询的时候提示“使用 UNION、INTERSECT 或 EXCEPT 运算符合并的所有查询必须在其目标列表中有相同数目的表达式”,但语句在sql server里测试的时候可以正常通过,而是vs2015里却始终提示这个错误。后来查了一些资料,可以在最外层再包一个select,这样可以解决这个问题,但这不是我想要的结果啊,最后测试发现,在v
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值