SQL注入之联合查询注入

于 2025-06-28 10:18:56 发布
阅读量307 收藏 6
点赞数 5
CC 4.0 BY-SA版权
文章标签: sql 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45611594/article/details/148972836

SQL注入之联合查询注入

一、联合查询注入原理

联合查询注入是一种常见的SQL注入攻击手法,其核心原理是利用SQL中的UNION操作符将多个SELECT语句的结果集合并,从而返回一个统一的结果集。在使用UNION时,必须确保前后两个查询的列数相同,且对应列的数据类型兼容。攻击者通过构造恶意查询,将数据库中的敏感信息(如数据库名称、表名、列名等)与正常查询结果一并输出,从而窃取关键数据。这种攻击方式通常用于探测数据库结构并获取未经授权的信息。

二、联合查询注入方法

联合查询注入的方法一共分三步:

  1. 确定列数:通过ORDER BY子句利用二分法确定查询的列数(超出列数时会报错)。
  2. 确定可显示列:利用UNION SELECT,将数字或字符串替换到不同列,找出回显数据的列。
  3. 获取数据:构造恶意查询,获取数据库中的敏感信息。

例如某个功能的SQL语句如下:

SELECT id, name, age, sex FROM students WHERE name LIKE '%用户输入%'

①确认列数

我们可以在【用户输入】中输入 1' ORDER BY 4 --,此时 SQL 语句会被拼接为:

SELECT id, name, age, sex FROM students WHERE name LIKE '%1' ORDER BY 4 --%'

当使用 ORDER BY 4 时,SQL 语句不会报错;然而,当使用 ORDER BY 5 时,SQL 语句会抛出错误:ERROR 1054 (42S22): Unknown column '5' in 'order clause'

通过观察是否出现报错,我们可以确定查询结果中的列数。

②确定可显示列

由于 SQL 查询语句中的字段不会全部显示在页面上或通过接口返回,因此我们需要通过 UNION SELECT 将数字或字符串替换到不同的列,以确定回显数据的位置。

我们可以在【用户输入】中输入 1' UNION SELECT 1, 2, 3, 4 --,此时 SQL 语句会被拼接为:

SELECT id, name, age, sex FROM students WHERE name LIKE '%1' UNION SELECT 1, 2, 3, 4 --%'

通过观察页面,我们可以查找是否有数据显示为 1234(如果原本数据中已经存在 1234,则可以替换为其他数据)。如果存在,则这些位置即为可显示列。

③获取数据

在找到可显示列后,我们就可以利用这些位置查询所需的数据。例如,假设位置 3 是可显示列,我们可以在【用户输入】中输入 1' UNION SELECT 1, 2, user(), 4 --,此时 SQL 语句会被拼接为:

SELECT id, name, age, sex FROM students WHERE name LIKE '%1' UNION SELECT 1, 2, user(), 4 --%'

通过这种方式,我们可以在页面上查看到 SELECT user() 的返回内容。

三、联合查询注入实例

在Pikachu中,进行实践。

①确认列数

在输入框中分别输入以下内容:

  • 1' order by 3 #
    image
  • 1' order by 4 #
    image

通过观察页面响应,可以确认查询结果的列数为 3。

②确定可显示列

在输入框输入:1' UNION SELECT 1, 2, 3 #

image

发现三个字段均可显示

③获取数据

在输入框输入:1' UNION SELECT database(), version(), user() #

image

随便在某个字段进行查询脱库

测试小罡
关注
SQL注入联合查询
m0_56578216的博客
08-22 1171
适用数据库中的内容会回显到页面中来的情况。联合查询就是利用union select 语句,该语句会同时执行两条select 语句,实现跨库、跨表查询。两条select 语句查询结果具有相同列数:对应的列数据类型相同(特殊情况下,条件被放松)。联合查询就是利用SQL语句中的union select语句同时执行两条select语句,实现跨表查询的方法。由于联合查询会将数据库中的两张表按照列数拼接(纵向拼接)后再进行查询,所以要求两条select语句查询的表必须******
sql注入union联合查询注入
m0_52484587的博客
07-09 980
union联合、合并:将多条查询语句的结果合并成一个结果,union 注入攻击为一种手工测试。注入思路:A:判断是否存在注入点http://xxxxxxxxx?id=11' 异常 1 and 1=1 返回结果和 id=1 一样1 and 1=2 异常从而则一定存在 SQL 注入漏洞B:order by 1-99 语句来查询该数据表的字段数C:利用获得的列数使用联合查询union select 与前面的字段数一样找到了数据呈现的位置http://xxxxxxx?
SQL注入--联合查询注入
qq_37107430的博客
12-02 1847
联合查询注入Union Query Injection)是一种 SQL 注入攻击方式。SQL 注入是指攻击者通过在用户输入或其他数据输入点插入恶意的 SQL 语句,来改变数据库的预期行为。联合查询注入具体是利用 SQL 中的UNION关键字来合并两个或多个SELECT语句的查询结果。
sql注入之——mysql 联合查询注入
wsnbbz的博客
01-06 590
一、Dvwa low级别 1.判断sql注入漏洞类型为:’为边界的字符串型 2.判断列数和显示位:2列2个显示位 1' order by 2 3.确定数据库:1' union select 1,database()-- - 4.查看数据库有哪些表:1' union select 2,(select group_concat(table_name) from informatio...
SQL注入Union注入
weixin_46013320的博客
03-18 698
主要解释SQL注入中关于Union的知识点。
sql注入联合查询,最详细的CMS联合查询过程!!!!
08-22
本案例聚焦于CMS(内容管理系统)中的SQL注入,特别是联合查询的利用方法。 【联合查询】是SQL注入的一种技术,允许攻击者合并两个或更多的SELECT语句,以便在不直接访问数据库的情况下获取信息。在这个场景中,...
SQL注入联合查询——ctf公开课笔记记录
m0_75196987的博客
04-18 623
SQL注入联合查询——来自 长空实验室ctf新兵训练营。Sqli-labs靶场搭建以及做题wp将由我亲自实践并为大家呈现。
SQL注入联合查询的三个绕过技巧
qq_68163788的博客
01-26 3276
SQL注入中,可以利用科学计数法来绕过对输入的限制。例如,可以使用科学计数法来绕过对字符串长度的限制,通过将字符串拆分成多个部分并使用科学计数法来表示。此外,还可以利用数据库的特定特性或语法来替代原始的查询语句,从而执行联合查询或其他恶意操作。另外,还可以尝试利用无列名注入的技巧,通过在原始查询中使用通配符或其他方式来绕过对列名的限制,从而执行恶意操作。
sql注入union注入
2401_87248788的博客
12-17 861
这两句是union注入中较为重要的句子,大家在练习的时候建议敲一遍而不是复制粘贴,两句其实还挺像的,我把两句中的不同的地方标出来,方便大家记忆。到这里我们的sql注入union注入就结束了,大家可以到官网上去看一下,也有解题思路,我这篇文章就是借鉴他的解题思路和过程。从以上两张图看出,我们将id=1改为id=1‘,页面出错,可以判断这个是数字型注入。那么话不多说,开始今天的讲解。这里发现1=1输出正常,而是用1=2页面报错,初步判断存漏洞。将limit0,1改为1,1。Limit0,1更改为1,1。
sql注入union联合注入
m0_63436163的博客
01-30 1226
联合查询注入是联合两个表进行注入攻击,使用关键词 union select 对两个表进行联合查询。两个表的字段数要相同,不然会出现报错。列数相同union 特性是显示两张表 我们就可以吧第一个参数变为------负--的 或者不存在的值 就行了 显示就是以第二张表为主。
SQL显错(union注入基础深度剖析(原理)
m0_46304840的博客
03-03 2821
前言 前面基础应该写的差不多了,至于关于编程语言我会后面再写 正文 什么是sql注入sql注入 指 web应用程序没有对用户输入的数据进行判断,导致前端传入后端的参数 可以被攻击者所控制,并且带入数据库执行 $sql = "SELECT * FROM users where id = $GET['id']"; 因为这里的参数,id可以可以控制,所以会被攻击者进行拼接...
SQL注入利用学习-Union联合注入
qq_61861243的博客
04-08 1713
SQL语句中查询数据时,使用select 相关语句与where 条件子句筛选符合条件的记录。如果该id=1 中的1 是用户可以控制输入的部分时,就有可能存在SQL注入漏洞。数据库提供联合查询,使得可以将两条SQL查询语句的结果进行连接。务必注意:两者的字段数必须一致。判断联合查询语句中的字段数时,可以使用order by num。当依次增大num时,如果出现错误,那么上 一条SQL查询语句的结果字段数就为num-1。
SQL 注入 五大基本手法
weixin_51559599的博客
11-07 1782
适用数据库中的来的情况。联合查询就是利用语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。
SQL 注入——联合查询
weixin_51559599的博客
11-06 1706
information_schema 元数据库中的 columns 表中存储着数据库中所有的列。information_schema 元数据库中的 tables 表中存储着数据库中所有的表。语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。如果报错,则说明没有该列,继续向小的数字更改查询,直到查询出列数最大值。总共有 517 个表名,因为此前查出在 cms 表中,增加筛选条件。此处因为联合查询,每列的数据类型不同而报错,将。查看 cms_users 表中的字段。连接显示出整列中的内容。
sql注入杂谈(一)--union select
2401_88752464的博客
12-28 1028
**/%0aselect*/ //%0a是换行 +UnIoN/**/SeLecT/**/1,2,user() un/**/ion se/**/lect /**/union/*/select/**/127.0.0.1/less-1/?
SQL注入:从原理到实战,新手必防的“数据库漏洞杀手”(联合查询注入篇)
2302_81945070的博客
05-25 866
联合查询注入Union-Based SQL Injection)作为SQL注入攻击中的"黄金手法",因其高效性和直接性成为渗透测试的核心技术。本文将用渗透测试视角,带您揭开数据库攻防的神秘面纱。
SQL注入联合查询的利用
最新发布
06-07
### SQL注入联合查询的利用方法和技巧 #### 联合查询的基本原理 联合查询UNION Query)是SQL注入中一种常见的攻击方式,它通过将恶意构造的SQL语句附加到原始查询中,从而获取额外的数据。联合查询的核心在于使用`UNION`操作符将两个或多个SELECT语句的结果集合并为一个结果集。为了成功执行联合查询注入,攻击者需要确保以下条件[^1]: - 原始查询与构造的恶意查询返回的列数相同。 - 每一列的数据类型兼容。 #### 联合查询注入的利用方法 攻击者通常会利用联合查询来绕过输入验证并获取敏感信息。例如,假设存在一个未经过滤的登录表单,其SQL查询可能如下所示: ```sql SELECT username, password FROM users WHERE username = '$username' AND password = '$password'; ``` 如果用户输入被直接拼接到SQL语句中,攻击者可以构造如下输入: ```plaintext ' UNION SELECT null, table_name FROM information_schema.tables -- ``` 这将导致最终执行的SQL语句变为: ```sql SELECT username, password FROM users WHERE username = '' UNION SELECT null, table_name FROM information_schema.tables -- ' AND password = ''; ``` 通过这种方式,攻击者可以枚举数据库中的所有表名[^3]。 #### 防御联合查询注入的方法 防御联合查询注入的关键在于从源头上杜绝恶意输入的影响。以下是几种有效的防御措施[^2]: 1. **参数化查询**:始终使用预编译语句和参数化查询,避免直接将用户输入嵌入SQL语句中。例如,在Python中可以使用`sqlite3`模块的参数化功能: ```python import sqlite3 conn = sqlite3.connect('database.db') cursor = conn.cursor() cursor.execute("SELECT * FROM users WHERE username = ? AND password = ?", (username, password)) ``` 2. **白名单过滤**:仅允许用户输入符合特定规则的数据。例如,如果应用程序只需要数字输入,则可以通过正则表达式或类型检查进行过滤: ```python if not username.isdigit(): raise ValueError('Invalid username') ``` 3. **最小权限原则**:确保数据库用户的权限仅限于完成任务所需的最低权限。例如,Web应用程序的数据库账户不应具有删除或修改表结构的权限[^4]。 4. **WAF(Web应用防火墙)**:部署WAF以检测和阻止常见的SQL注入模式。WAF可以作为额外的安全层,但不能完全替代其他防御措施。 #### 示例代码 以下是一个结合参数化查询和白名单过滤的示例: ```python import re import sqlite3 def validate_username(username): # 白名单过滤:仅允许字母、数字和下划线 if not re.match(r'^\w+$', username): raise ValueError('Invalid username') def authenticate_user(username, password): validate_username(username) # 白名单过滤 conn = sqlite3.connect('database.db') cursor = conn.cursor() # 参数化查询 cursor.execute("SELECT * FROM users WHERE username = ? AND password = ?", (username, password)) user = cursor.fetchone() conn.close() return user ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值