0x00 概述

union注入是一种简单有效的注入方式，以前只是套公式或者sqlmap刷，此文简述其原理(侧重点在union select)。
 

0x01 union注入

环境：sqli-labs
1. 判断列数
order by / group by
union select 要求两个表查询的字段数必须相同，否则报错(列名以第一个select为准)


2. 使原数据查询为空
如id=2改为id=-2或id=2000000查询不存在的数据则为空，就可以显示要查询的敏感数据（防止正常数据干扰）

3. 使用1，2，3，4，5占位
如union select 1,2,3,4,5判断出可以显示的位置（显示位），如果要求字段类型也要相同，则使用null代替数字。
4. 将数字替换成敏感数据
如union select 1,2,user(),database(),5


 

0x02 sqli-labs lesson 1

字符型注入
1. 判断列数
3对4错，列数3
Id=1‘ group by 3– –

2. 使原数据查询为空&&数字占位
Id=-1’ union select 1,2,3– –

显示位2 3
3. 替换显示位为敏感数据
id=-1′ union select 1,user(),database()– –

 

0x03 结语

union注入方便高效。