Question

我正在一些培训网页上研究SQLInjection（所以我不知道后端是什么）。我正在尝试下一次注入以获得de DB类型。

(1) http://url/?departamento=1 union select user()

这样，如果数据库是MySQL，我应该得到一些结果。但是，我没有看到任何结果。如果我将注入更改为新句子，则数据将正确返回，因此数据库为MySQL（即使我可以看到带有此新注入的数据库名称）：

(2) http://url/?departamento=1 union select 1,user()

尽管如此，如果我再次将注射更改为其中之一，结果也会改变。

(3) http://url/?departamento=1 union select 1,2,user() (I don't see any data)
(4) http://url/?departamento=1 union select user(),2 (Here I don't see the DB name)

我不明白为什么要在第二个select语句中添加更多列以查看数据。为什么会这样？

谢谢！

Answer 1

假设后端是Java，代码正在执行类似的操作：

// 1 union select 1,user()
String query = "select a, b, c from someTable where departamento = " 
             + request.getParameter("departamento"); // the injection is here
try (Statement stmt = con.createStatement()) {
  try (Result rs = stmt.executeQuery()) {
    while (rs.next()) {
      int a = rs.getInt(1); // column "a"
      String b = rs.getString(2); // column "b"
      Date c = rs.getDate(3); // column "c"
      System.out.println("a: " + a + ", b: " + b + ", " c: " + c);
    }
  }
}

要使注入正常工作，您需要生成一个有效的SQL语句。

您的联合必须具有与源查询相同的列数
您的列类型必须匹配；第一个子查询中的列类型必须与第二个子查询中的列类型相同（某些数据库可能因此而使查询失败）。
您的条件（“ 1”）必须与过滤器（departemento）的右侧匹配
可能特定于Java（和本例），为了使循环正常工作，您需要能够将列转换为目标类型。如果第1列是数字，那么如果您的并集产生了不可转换为数字的字符串，则很可能将永远无法显示其内容。

在SQLInjection中获取数据库名称

1 个答案: