【SQL注入-07】堆叠注入案例—以sqli-labs-less38为例

最新推荐文章于 2024-04-15 20:17:15 发布
最新推荐文章于 2024-04-15 20:17:15 发布
阅读量936 收藏 2
点赞数 1
分类专栏: # 入门07 Web安全之渗透测试 文章标签: sql注入 堆叠注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64378913/article/details/124598802
版权

目录

1 堆叠注入概述

1.1 定义

英文为 stacked injection。
在SQL数据库中,每条语句是以;分开的,堆叠注入就是一次性注入并执行多条语句(多语句之间以分号隔开)的注入方式。

1.2 与union联合查询注入的对比

union联合查询注入执行的语句类型是有限的,可以用来执行查询语句。
堆叠注入可以执行的是任意的语句,如增删改等。
另外的,如布尔盲注延时盲注等其他语句也可以并到多语句中执行,只是没什么必要。

1.3 局限性

(1)多语句执行受数据库类型、API、数据引擎的限制,有的不能实现。
(1)增删改也受到用户权限的限制。

2 堆叠注入案例—以sqli-labs-less38为例

2.1 实验平台

实验靶场——虚拟机(IP为172.16.1.1):本节实验靶场是在win2008系统上基于phpstudy搭建的一个sqli-labs漏洞靶场,win2008及phpstudy的安装过程可以参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》,sqli-labs漏洞靶场的搭建可以参考《【环境搭建】基于WAMP环境的sqli-labs漏洞靶场的搭建

注入工具——真实机:本实验利用火狐浏览器来实现union注入,为方便注入过程的编码,建议安装一个扩展插件harkbar,安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用,就安装了HackBar Quantum来代替。安装后出现下图左侧的东西。
在这里插入图片描述
靶机与真实机桥接到同一局域网中。

2.2 实验目标

使用堆叠注入往第38关数据库注入新账号;
查询新账号是否注入成功。

2.3 堆叠注入实验步骤

2.3.1 注入前准备

(1)真实机打开火狐浏览器,访问靶机IP地址,出现下图,可以不重置实验平台,直接点击Page3进入堆叠实验的关卡less38。
在这里插入图片描述

(2)进入第38关,初始界面如下:
在这里插入图片描述

2.3.2 判断注入点及注入类型

(1)输入参数为?id=1可以看到网页成功返回第一个用户账号及密码。修改id=2则是返回第二个账号密码,说明id是一个访问者可以控制输入的参数且页面会根据参数进行响应,是一个注入点。且由于网页有回显,可以优先采用union联合查询注入。
在这里插入图片描述
在这里插入图片描述

(2)修改参数为?id=1'可以看到数据库没有回显账号密码,同时提示错误信息如下,分析错误提示可知该注入参数为字符型,且为单引号闭合。
在这里插入图片描述

(3)修改参数为?id=1'and '1'='1,根据反证法可知,该参数确实为单引号闭合的字符型,后续构成注入语句需要格外注意闭合单引号
在这里插入图片描述

(4)输入参数为?id=1‘ --+可以看到网页成功返回第一个用户账号及密码。说明–+可以成功注释掉后面的语句。
在这里插入图片描述
综上所述,注入点为字符型注入,且由于网页有回显,可以优先采用union联合查询注入获取账号密码是在哪个表哪些字段中,接着再往该表和字段中插入新的账户及密码。

2.3.3 判断回显列数及回显位置

(1)修改参数为?id=1' order by 3--+,页面正常显示,当修改参数为4时,页面显示错误,说明回显内容有3列。
在这里插入图片描述
在这里插入图片描述

(2)修改参数为?id=-1' union select 1,2,3--+,可以看到2和3列数据可以回显。
在这里插入图片描述

2.3.4 union注入获取库名表名字段名

目的:为了往数据库中注入新的账号密码,我们需要知道账号密码是在哪个表哪些字段中,因此需要先用union联合注入获取相关信息。具体步骤如下:
(1)获取库名。修改参数为?id=-1' union select 1,2,database()--+,发现本站点数据库为security。
在这里插入图片描述
(2)获取表名。修改参数为?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = database()--+,发现该数据库下公有4个表,其中有个users的表,是我们注入的目标。
在这里插入图片描述
(3)获取字段名。修改参数为?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273--+,发现该表格下公有3个字段。
在这里插入图片描述

2.3.5 堆叠注入

目的:往后台数据库增加一个账号。
(1)修改参数为?id=1';insert into users(id,username,password) values (100,'good','good')--+

(2)验证是否插入成功,修改命令为?id=100,查询结果如下,实验成功。
在这里插入图片描述

3 总结

(1)了解堆叠注入与union联合查询注入的区别;
(2)了解堆叠注入的限制性因素;
(3)掌握手动堆叠注入的方法。

参考文章

[1] 《【SQL注入07】堆叠注入基础及实操(基于sqli-labs-less38)

像风一样9
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
SQL注入实验详细过程及讲解
2302_78587828的博客
08-14 2257
SQL 注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
SQL注入操作流程及实例演示+墨者学院靶场SQL手工注入漏洞测试(MySQL数据库)
ran的博客
01-12 1675
在MYsQL5.0以上版本中,Mysql 有一个系统数据库 information_schema,它是一个存储记录有所有数据库名,表名,列名的数据库,相当于利用该表可以进行一次完整的注入,通过查询它获取指定数据库下面的表名、列名、具体数据信息。当输入了一些乱七八糟的内容之后,网页返回“404错误”或者进行了跳转,则说明本网站对输入的内容可能有检测,则说明这个网站大概率没有注入漏洞。返回的了两个数字,分别是“2”、“3”,因此,修改网址上的“2”、“3”为对应系统函数来进行信息收集。可以在参数值前加“-”;
Web漏洞原理与利用----SQL注入
最新发布
weixin_63047494的博客
04-15 1666
本文仅仅简单介绍了SQL的原理概念以及SQL注入攻击的方法,还进行了SQL注入实验,简单加深了对SQL注入的理解。以上实验例子和结果仅供参考。
sql注入详细过程
qq_42890862的博客
06-30 5889
mysql mysql5.0以上版本包含内置的information_schema数据库,它储存着mysql所有的数据库和表结构信息,利用该数据库可以查询到所有的数据库和表的内容 5.0 暴力破解的方式获取数据 1.原理 当我们的Web app在向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。 2.sql手工注入的基本思路 (1)找到注入点 在我们可控的输入部分加一些符号,查看页
Sqli-labs 堆叠注入篇 (Less38~53)
angry_program的博客
02-15 1315
前言 本blog作为练习笔记, 文笔不才, 仅供参考, 不正之处望大神指正。 堆叠注入篇对应labs的38~53关: Less-38 字符型堆叠注入 虽然用很常规的方法都可以注入成功,但是并不侧重于注入爆数据; 而是考察堆叠注入: http://localhost:2333/Less-38/index.php ?id=0' union select 1...
Sqli-labs之Less:38-41
m0_46315342的博客
06-04 262
                                          &nbs...
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
sqli-labs实验指导手册
11-17
sqli-labs是一个专门设计的实验平台,用于教育和实践SQL注入技术。以下是对sqli-labs实验指导手册中涉及的SQL注入知识点的详细说明: 1. **字符型联合注入**(如less-1): - **注入点检测**:通过修改查询参数...
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注...
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-Labs的SQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
sqli-labs学习笔记(十二)less 38-45 堆叠注入
闵行小鱼塘
09-19 475
继续学习sqli-labs,本篇是less 38-45
sqllabs less38~45堆叠注入
m0_51607644的博客
02-02 127
写在前边 简单说堆叠注入就是将将两个SQL语句同时执行以封号隔开。虽然我们前面提到了堆叠查询可以执行任意的 sql 语句,但是这种注入方式并不是十分 的完美的。在我们的 web 系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第 二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。 因此,在读取数据时,我们建议使用 union(联合)注入。同时在使用堆叠注入之前, 我们也是需要知道一些数据库相关信息的,例如表名,列名等信息。 less38~less41 这几关就直接放在一起做总结了
sql-labs】闯关记录28~38详解
qq_43665434的博客
04-24 575
sql-labs】闯关记录28~38 【less-28】过滤union%0aselect 测试流程 ?id=1') and%0a'1'=('1 #成功回显 ?id=1') and%0a'1'=('2 #会显失败 #测试回显字段 ?id=232323') %0aunion%0aselect%0a1,2,3%0aand%0a'1'=('1 #发现union%0aselect被过滤了 #于是混淆双写,成功绕过 ?id=232323') %0auniunion%0aselecton%0aselect
SQL注入详解 38-45关
君莫hacker的博客
10-15 431
目录Less-38堆叠注入)Less-39(堆叠注入)Less-40(堆叠注入)Less-41(堆叠注入)Less-42(登录点堆叠注入)Less-43Less-44Less-45 Less-38堆叠注入) 第38关总结: 从第38关开始就是堆叠注入,通过构造语句,可以对数据库进行更大的利用,若权限足够高,我们可以进行对数据库的增删改查,读取写入文件,修改各用户权限,进行更多的利用 判断注入类型 单引号字符型注入 判断注入字段数及显示位置 查看数据库名 爆表 爆列 爆数据 在38关,以上的注入
[强网杯 2019]随便注1
weixin_59453707的博客
07-21 424
1.什么是堆叠注入堆叠注入就是利用sql命令中利用“;”来做一句sql命令的结束标志,但是在“;”后的同一行里添加其他sql命令仍可以执行。 2.堆叠注入与union injection(联合注入)之间的区别? 区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。 3.堆叠注入的局限性? 堆叠注入并不是在每种情况下都能使用的。大多数时候,因为API或数据库引擎的不支持,堆叠注入都无法实现。 打开靶机,...
SQL注入详解(上)
weixin_59571952的博客
11-29 4754
一:SQL注入漏洞介绍 SQL注入攻击包括通过输入数据从客户端插入或注入SQL查询到应用程序,一个成功的SQL注入攻击可以从数据库中获取敏感数据,修改数据库数据,执行数据库管理操作,在某些情况下能对操作系统发布命令,SQL注入攻击是一种注入攻击,它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令,由于用户的输入,也是SQL语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要的指令 二:修复建议 1:所...
web漏洞-SQL注入漏洞扩展(堆叠查询注入)-SQLi LABS 38关到41关讲解
ran的博客
01-19 671
比如在注入时,需要得到管理员的账号和密码,但是这个密码是加密的,且无法解密,此时便可以利用堆叠注入向管理员用户的表内进行插入用户数据,创建用户来登录迂回的注入数据库,但是前提是网站的管理员必须是高权限才能完全创建用户。因为是插入的数据,所以新插入的管理员用户的密码是自定义的,将用户数据插入之后,就可以实施登录了,此时便可以忽略密码无法解密的问题。区别就在于 union或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。”(返回执行的SQL语句并换行)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值