MYSQL注入天书之stacked injection（堆叠注入）

朱雀 2022-05-13 14:50 260阅读 0赞

# 第三部分/page-3 Stacked injection #

## Background-8 stacked injection ##

Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句（多条）一起执行。而在真实的运用中也是这样的，我们知道在mysql中，主要是命令行中，每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。

### 0x01 原理介绍 ###

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。

例如以下这个例子。

![669054-20160811220533906-1304680635.png][]

当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

### 0x02 堆叠注入的局限性 ###

堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

![669054-20160811220534984-271396471.png][]

Ps：此图是从原文中截取过来的，因为我个人的测试环境是php+mysql，是可以执行的，此处对于mysql/php存在质疑。但个人估计原文作者可能与我的版本的不同的原因。

虽然我们前面提到了堆叠查询可以执行任意的sql语句，但是这种注入方式并不是十分的完美的。在我们的web系统中，因为代码通常只返回一个查询结果，因此，堆叠注入第二个语句产生错误或者结果只能被忽略，我们在前端界面是无法看到返回结果的。

因此，在读取数据时，我们建议使用union（联合）注入。同时在使用堆叠注入之前，我们也是需要知道一些数据库相关信息的，例如表名，列名等信息。

### 0x03 各个数据库实例介绍 ###

本节我们从常用数据库角度出发，介绍几个类型的数据库的相关用法。数据库的基本操作，增删查改。以下列出数据库相关堆叠注入的基本操作。

**Mysql数据库**

**（1）**新建一个表 select \* from users where id=1;create table test like users;

![669054-20160811220536531-1936838385.png][]

执行成功，我们再去看一下是否新建成功表。

![669054-20160811220538437-1884969952.png][]

1.  删除上面新建的test表select \* from users where id=1;drop table test;
    
    ![669054-20160811220539609-885310354.png][]
    
    ![669054-20160811220541437-1858139281.png][]
2.  查询数据select \* from users where id=1;select 1,2,3;
    
    ![669054-20160811220542718-2047461654.png][]
    
    加载文件 select \* from users where id=1;select load\_file('c:/tmpupbbn.php');
    
    ![669054-20160811220544484-1762423717.png][]
    
     
3.  修改数据select \* from users where id=1;insert into users(id,username,password)
    
    values('100','new','new');
    
    ![669054-20160811220546015-721343428.png][]
    
     
    
    ![669054-20160811220547453-2113136530.png][]
    
     
    
    **Sql server数据库** 
4.  增加数据表select \* from test;create table sc3(ss CHAR(8));
    
    ![669054-20160811220548875-1183247003.png][]
5.  删除数据表select \* from test;drop table sc3;
    
    ![669054-20160811220550125-1740565029.png][]
    
    (3)查询数据select 1,2,3;select \* from test;
    
    ![669054-20160811220550687-159716018.png][]
6.  修改数据select \* from test;update test set name='test' where id=3;
    
    ![669054-20160811220551984-1696610695.png][]![669054-20160811220554171-277866184.png][]
7.  sqlserver中最为重要的存储过程的执行
    
    select \* from test where id=1;exec master..xp\_cmdshell 'ipconfig'
    
    ![669054-20160811220556437-1467807017.png][]
    
     
    
    **Oracle数据库** 
    
    上面的介绍中我们已经提及，oracle不能使用堆叠注入，可以从图中看到，当有两条语句在同一行时，直接报错。无效字符。后面的就不往下继续尝试了。
    
    ![669054-20160811220558296-147337143.png][]
    
     
    
    **Postgresql数据库** 
8.  新建一个表 select \* from user\_test;create table user\_data(id DATE);
    
    ![669054-20160811220559593-1531546111.png][]
    
    ![669054-20160811220600140-374048179.png][]
    
    可以看到user\_data表已经建好。
9.  删除上面新建的user\_data表select \* from user\_test;delete from user\_data;
    
    ![669054-20160811220602000-616054728.png][]
10. 查询数据select \* from user\_test;select 1,2,3;
    
    ![669054-20160811220604187-1946524207.png][]
11. 修改数据 select \* from user\_test;update user\_test set name='modify' where name='张三';![669054-20160811220606312-2134459482.png][]

[669054-20160811220533906-1304680635.png]: /images/20220504/fecba1e622474ba79fca358dc5aa63d9.png
[669054-20160811220534984-271396471.png]: /images/20220504/247164bdce98437a90fe2cceeaae7667.png
[669054-20160811220536531-1936838385.png]: /images/20220504/6b231fc1817546e09a4511a3b208404c.png
[669054-20160811220538437-1884969952.png]: /images/20220504/db351cadbb594784838aa1947451fcc5.png
[669054-20160811220539609-885310354.png]: /images/20220504/7ae725f7887141999197ae4d2847bb16.png
[669054-20160811220541437-1858139281.png]: /images/20220504/2051861bbafd4f0c8cdf89b18fbe1d60.png
[669054-20160811220542718-2047461654.png]: /images/20220504/6d134ba90c944292b183f6ac1bf8328a.png
[669054-20160811220544484-1762423717.png]: /images/20220504/867b81c423e24e568d063af84e2d7892.png
[669054-20160811220546015-721343428.png]: /images/20220504/5bee89b72da14b32a3b12ecc3fdb5829.png
[669054-20160811220547453-2113136530.png]: /images/20220504/f3c249b80e7e4626a5215f29a2c7dca8.png
[669054-20160811220548875-1183247003.png]: /images/20220504/a68890fb86b44d448b9a12ace609be91.png
[669054-20160811220550125-1740565029.png]: /images/20220504/12b6b98ca4244e9f892f06257969f975.png
[669054-20160811220550687-159716018.png]: /images/20220504/4898cb5ec9434844bb546ba4b87c428a.png
[669054-20160811220551984-1696610695.png]: https://images2015.cnblogs.com/blog/669054/201608/669054-20160811220551984-1696610695.png
[669054-20160811220554171-277866184.png]: /images/20220504/96bfdc971583443eaa40403787ee20f1.png
[669054-20160811220556437-1467807017.png]: /images/20220504/9ddfbc60b97148c5902265946dcb871a.png
[669054-20160811220558296-147337143.png]: /images/20220504/b7fa62fd39684ab3b9026dba9dd5a774.png
[669054-20160811220559593-1531546111.png]: /images/20220504/009cde252ee14df9a610748130ef37d7.png
[669054-20160811220600140-374048179.png]: /images/20220504/5a80bf503dbd4337b44fd265938909f9.png
[669054-20160811220602000-616054728.png]: /images/20220504/bb1fbc16648a42a38fcf4ea7476aab44.png
[669054-20160811220604187-1946524207.png]: /images/20220504/ae9bd5f297be4eff8d57748a5a5dee17.png
[669054-20160811220606312-2134459482.png]: /images/20220504/7aeee24417ef42d6be5fcd6a57461257.png