union注入

1.union注入介绍

当一个站点存在SQL注入时，用户的输入就可以传入数据库执行，理论上这样可以获得数据库的全部数据，也就是常说的脱库了。获得数据的方法也多种多样，可以通过页面直接返回想要查询的数据，也可以通过sleep延时函数猜测数据，都不行的话我们还可以使用DNS解析日志来获得数据。其中，最简单的一种方法就是union型的SQL注入了。

union操作符用于合并两个或多个sql语句集合起来，得到联合的查询结果

union注入是需要和order by配合来一起判断。

order by是用来判断主查询字段有几位。

当我们查询的字段只有3位时，order by  x ，若x>3则会产生报错，当x=4时报错，=3时不报错，可以得出查询的字段数量为3

可以利用字符串连接函数对查询的多个数据进行连接，同时输出

2.sql注入检测方式

sql注入分为两种类型：

（1）字符型检测

                   字符型判断url是否存在注入在url栏的网址上添加一个单引号  url: http://127.0.0.1/sqli-labs-master/Less-1/?id=1’

会显示报错，大致意思是你有一个sql语法错误，当在后面加了%23一个注释符后会正常显示。

当我们在url栏网址的单引号后面输入and 1=1 时页面显示正常。http://127.0.0.1/sqli-labs-master/Less-1/?id=1' and 1=1#

当我们把1=1换成1=2时页面报错          # = %23  注释的意思http://127.0.0.1/sqli-labs-master/Less-1/?id=1' and 1=2#

（2）数字型检测

直接输入and 1=1看看。`http://127.0.0.1/sqli-labs-master/Less-2/?id=1 and 1=1

发现是可以正常显示页面的，那么我们在进一步判断1=2时。http://127.0.0.1/sqli-labs-master/Less-2/?id=1 and 1=2发现页面有变化，那么就可以判断他是一个数字型的注入，因为数字型的注入是不用加引号的。就类似于int一样。

3.原理

在php后端代码中，注入处的代码如下：

$sql="SELECT  * FROM users where id=$id LIMIT 0,1";

因此我们注入时,在数据库命令行中运行的代码是：

SELECT * FROM users where id='1'  union select 1,2,3   # ' LIMIT 0,1;

当我们查询库中表的名字时，我们可以在注入点输入：

'union select 1,group_concat('< b r>',table_name),3 from information_schema.tables where table_schema=database() #

group_concat的作用是将输出的数据用换行符连接在一起，可以全部输出。