Stached injection -- 堆疊注入

0x00 堆疊注入的定義

​ Stackedinjection 漢語翻譯過來後，稱為堆查詢注入，也有稱之為堆疊注入。堆疊注入為攻擊者提供了很多的攻擊手段，通過新增一個新的查詢或者終止查詢，可以達到修改資料和呼叫儲存過程的目的。

0x01 堆疊注入的原理

​ 在SQL中，分號（;）是用來表示一條sql語句的結束。試想一下我們在;結束一個sql語句後繼續構造下一條語句，會不會一起執行？因此這個想法也就造就了堆疊注入。

​ 而 unioninjection（聯合注入）也是將兩條語句合併在一起，兩者之間有什麼區別麼？區別就在於union或者unionall 執行的語句型別是有限

Select*fromproductswhereproductid=1;DELETEFROMproducts

當執行命令後，第一條顯示查詢資訊，第二條則將整個表進行刪除。

0x02 堆疊注入的侷限性

​ 堆疊注入也有其相對的侷限性，並不是每一個環境下都可以執行，可能受到API或者資料庫引擎不支援的限制，當然了許可權不足也可以解釋為什麼攻擊者無法修改資料或者呼叫一些程式。

​ 如圖：

​ 雖然我們前面提到了堆疊查詢可以執行任意的sql語句，但是這種注入方式並不是十分的完美的。在我們的web系統中，因為程式碼通常只返回一個查詢結果，因此，堆疊注入第二個語句產生錯誤或者結果只能被忽略，我們在前端介面是無法看到返回結果的。因此，在讀取資料時，還是建議使用 union（聯合）注入。同時在使用堆疊注入之前，我們也是需要知道一些資料庫相關資訊的，例如表名，列名等資訊。

0x03 資料庫例項介紹

​ 下面我們從常用資料庫角度出發，介紹幾個型別的資料庫的相關用法。資料庫的基本操作，增刪查改。以下列出資料庫相關堆疊注入的基本操作。

1. MySQL

（1）新建表

select * from user where id = 1;create table test like user;

可以看到，我們的語句執行成功，再去檢查一下表test是否建立成功。

show tables;

實驗顯示：表test成功建立。

（2）刪除新建的test表

select * from user where id=1;drop table test;

再去檢視：

show tables;
 

(3) 查詢資料庫

select * from user where id=1;select 1,user(),database();