最新Union注入攻击及代码分析技术

Union注入攻击的测试地址在本书第2章。

访问该网址时，页面返回的结果如图4-12所示。

图4-12

在URL后添加一个单引号，即可再次访问。如图4-13所示，页面返回的结果与id=1的结果不同。

图4-13

访问id=1 and 1=1，由于and 1=1为真，所以页面应返回与id=1相同的结果，如图4-14所示。

图4-14

访问id=1 and 1=2，由于and 1=2为假，所以页面应返回与id=1不同的结果，如图4-15所示。

图4-15

可以得出该网站可能存在SQL注入漏洞的结论。接着，使用order by 1-99语句查询该数据表的字段数量。访问id=1 order by 5，页面返回与id=1相同的结果，如图4-16所示。

图4-16

访问id=1 order by 6，页面返回与id=1不同的结果，则字段数为5，如图4-17所示。

图4-17

在数据库中查询参数ID对应的内容，然后将该内容输出到页面。由于是将数据输出到页面上的，所以可以使用Union注入，且通过order by查询结果，得到字段数为5，Union注入的语句如下：

union select 1,2,3,4,5

如图4-18所示，可以看到页面成功执行，但没有返回union select的结果，这是由于代码只返回第一条结果，所以union select获取的结果没有输出到页面。

图4-18

可以通过设置参数ID值，让服务器端返回union select的结果。例如，把ID的值设置为-1，由于数据库中没有id=-1的数据，所以会返回union select的结果，如图4-19所示。

图4-19

返回的结果为2﹕5，意味着在union select 1,2,3,4,5中，可以在2和5的位置输入MySQL语句。尝试在2的位置查询当前数据库库名（使用database()函数），访问id=-1 union select 1,database(),3,4,5，页面成功返回了数据库信息，如图4-20所示。

图4-20

得知了数据库库名后，接下来输入以下命令查询表名。

select table_name from information_schema.tables where table_schema='test' limit 0,1;

尝试在2的位置粘贴语句，这里需要加上括号，结果如图4-21所示，页面返回了数据库的第一个表名。如果需要看第二个表名，则要修改limit中的第一位数字，例如使用limit 1,1就可以获取数据库的第二个表名。

图4-21

所有的表名全部被查询完毕。已知库名和表名，接下来查询字段名。这里以users表名为例，查询语句如下：

select column_name from information_schema.columns where table_schema='test' and table_name='users' limit 0,1;

尝试在2的位置粘贴语句，括号不可少，结果如图4-22所示，获取了emails表的第一个字段名。

图4-22

通过使用limit 1,1，获取了emails表的第二个字段名，如图4-23所示。

图4-23

获取了数据库的库名、表名和字段名，就可以通过构造SQL语句来查询数据库的数据。例如，查询字段username对应的数据，构造的SQL语句如下：

select username from test.users limit 0,1;

查询结果如图4-24所示，页面返回了username的第一条数据。

图4-24

在Union注入页面，程序获取GET参数ID，将ID拼接到SQL语句中，在数据库中查询参数ID对应的内容，然后将第一条查询结果中的username和address输出到页面。由于是将数据输出到页面上的，所以可以利用Union语句查询其他数据，代码如下：

<?php$con=mysqli_connect("localhost","root","123456","test");if (mysqli_connect_errno()){echo "连接失败: " . mysqli_connect_error();}$id = $_GET['id'];$result = mysqli_query($con,"select * from users where `id`=".$id);$row = mysqli_fetch_array($result);echo $row['username'] . " : " . $row['address'];echo "<br>";?>

当访问id=1 union select 1,2,3,4,5时，执行的SQL语句为：

select * from users where `id`=1 union select 1,2,3,4,5

此时，SQL语句可以分为select * from users where `id`=1和union select 1,2,3,4,5两条，利用第二条语句（Union查询）就可以获取数据库中的数据。