什么是注入

与用户有交互的地方，输入参数用户可控，带入了恶意payload，造成注入

注入分很多种，这次分享的联合注入，它适用于有回显的地方。

联合注入的过程

1、判断注入点

2、判断是整型还是字符型

3、判断查询列数

4、判断显示位

5、获取所有数据库名

6、获取数据库所有表名

7、获取字段名

8、获取字段中的数据

一、判断注入点

我们在可能存在SQL注入变量的后边添加以下payload：

and 1=1 / and 1=2 回显页面不同(整形判断) 

单引号判断‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断) 

 \ (转义符) 

-1/+1 回显下一个或上一个页面(整型判断)

注：加号‘+’在URL中有特殊含义，因此在需要对其进行URL编码为%2b

二、判断是整型还是字符型

输入and 1=1和and 1=2后发现页面没有变化，判断不是整型注入

输入’ and 1=1 %23和 ‘ and 1=2%23后发现页面变化，判断为字符注入 

为什么输入 1 and 1=1 和 1 and 1=2 能判断是否是整型注入呢？

在数据库中 1=1 和1=2  后面随便输入字符串（相当于1=1和1=2后面的查询语句），发现select 1=”1dasd”时返回1正确，1=”2dasd”时返回0错误，即select在查询时忽略后面的字符串，只让1和后面第一个数字对比，如果相等就是正确，不相等返回错误。

三、判断查询列数

order by 函数是对MySQL中查询结果按照指定字段名进行排序，除了指定字段名还可以指定字段的栏位进行排序，第一个查询字段为1，第二个为2，依次类推。我们可以通过二分法来猜解列数

输入 order by 4%23  发现页面错误，说明没有4列

输入3列时，页面正常，说明有3列

四、判断显示位

UNION的作用是将两个select查询结果合并，如下图所示：

程序在展示数据的时候通常只会取结果集的第一行数据，看一下源码，mysql_fetch_array只被调用了一次，而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有，具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果。

只要让第一行查询的结果是空集，即union左边的select子句查询结果为空，那么union右边的查询结果自然就成为了第一行，打印在网页上了

可以看到将uid改为-1后第二行打印在页面上。

使union前面的语句报错，执行后面的，爆出显示位，2，3

五、获取所有数据库名

group_concat()一次性显示： 

select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA

显示当前数据库： databas()

六、获取表名

select 1,(select group_concat(table_name) from information_schema.tables where table_schema=’security’),3%23

七、获列名

select 1,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’),3%23

八、获取列中的信息

select 1,(select concat_ws(char(32,58,32),username,password) from users limit 1,1),3%23 

用limit控制，一行行得到数据即可