sql注入9之堆叠注入

最新推荐文章于 2025-04-29 22:15:53 发布
最新推荐文章于 2025-04-29 22:15:53 发布
阅读量1.3k 收藏 12
点赞数 25
CC 4.0 BY-SA版权
分类专栏: #+ sql注入 文章标签: 数据库 oracle 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jonhswei/article/details/147323081
一、堆叠注入

1. 堆叠注入概念
1)演示环境搭建
  • 环境: 使用SQLi-labs环境进行演示。
2)堆叠注入概念解析

堆叠注入(Stacked Query Injection)

**堆叠注入(Stacked Query Injection)**是一种 SQL 注入攻击技术,攻击者通过注入多个 SQL 语句到一个查询中,利用数据库支持堆叠查询的特性(即在同一条查询中执行多个 SQL 语句)来执行恶意操作。这类攻击利用了某些数据库管理系统(DBMS)允许多个 SQL 语句在一个查询中堆叠执行的特性,通常通过分号(;)分隔不同的 SQL 语句。

堆叠注入的目的是让攻击者在一个请求中执行多个 SQL 语句,从而绕过应用程序的某些限制,进行信息泄露、数据删除、数据修改或其他恶意操作。

堆叠注入的工作原理

  1. 注入多个 SQL 语句: 攻击者通过 SQL 注入漏洞,将多个 SQL 语句连接在一起。每个 SQL 语句由分号(;)隔开。攻击者可以将第二个 SQL 查询插入到第一个查询后,以执行多个操作。

  2. 通过分号分隔多个查询: SQL 查询中的分号(;)通常用于分隔不同的 SQL 语句。若目标数据库支持堆叠查询,攻击者可以利用这个特性注入多个 SQL 语句。

  3. 执行恶意操作: 攻击者通过堆叠注入可以执行如:

    • 数据库信息泄露(例如,查询系统表、用户信息、密码等)。

    • 数据修改或删除(例如,更新用户密码或删除数据)。

    • 提权操作(例如,通过操作权限表提取管理员权限等)。

堆叠注入的实际示例

假设某个 Web 应用程序的用户登录系统中存在 SQL 注入漏洞,攻击者可以注入多个 SQL 语句,通过分号 ; 来连接注入的恶意 SQL 查询。

示例 1:基本的堆叠注入

假设应用程序的 SQL 查询如下:

SELECT * FROM users WHERE username = '[user_input]' AND password = '[password_input]';

攻击者通过 SQL 注入进行堆叠注入,输入如下:

' OR 1=1; DROP TABLE users; --

  1. 第一个查询 OR 1=1 使得条件 1=1 成立,通常用于绕过验证,返回所有数据或正确的结果。

  2. 第二个查询 DROP TABLE users 会删除 users 表。

  3. 注释符 -- 用于注释掉后续的 SQL 代码,避免影响查询的正确执行。

最终执行的 SQL 查询变为:

SELECT * FROM users WHERE username = '' OR 1=1; DROP TABLE users; --' AND password = '[password_input]';

如果数据库允许堆叠查询,执行顺序为:

  1. 执行 SELECT * FROM users WHERE username = '' OR 1=1,通常返回所有用户数据或跳过用户名验证。

  2. 执行 DROP TABLE users,删除整个 users 表。

示例 2:数据泄露和删除操作

攻击者可以通过堆叠注入来获取敏感信息并删除数据。例如,输入:

' OR 1=1; SELECT * FROM information_schema.tables; --

这将使 SQL 查询变为:

SELECT * FROM users WHERE username = '' OR 1=1; SELECT * FROM information_schema.tables; --' AND password = '[password_input]';

此查询的执行顺序是:

  1. 第一个查询 SELECT * FROM users WHERE username = '' OR 1=1 仍然绕过身份验证。

  2. 第二个查询 SELECT * FROM information_schema.tables 会返回数据库中的所有表名(信息架构表的内容)。

示例 3:更新数据

攻击者还可以执行更新操作,如更改用户密码。假设注入如下:

' OR 1=1; UPDATE users SET password = 'newpassword' WHERE username = 'admin'; --

执行的 SQL 查询将变为:

SELECT * FROM users WHERE username = '' OR 1=1; UPDATE users SET password = 'newpassword' WHERE username = 'admin'; --' AND password = '[password_input]';

此时数据库执行的操作是:

  1. SELECT * FROM users WHERE username = '' OR 1=1 成功绕过验证。

  2. UPDATE users SET password = 'newpassword' WHERE username = 'admin' 会将管理员账户的密码修改为 'newpassword'

堆叠注入的防御措施

防止堆叠注入的关键是确保应用程序能正确过滤和处理用户输入,并遵循最佳的数据库安全实践。以下是一些防御措施:

1. 使用参数化查询(Prepared Statements)

使用参数化查询是防止 SQL 注入攻击的最有效方法之一。通过使用数据库驱动的参数化查询接口,可以避免动态构造 SQL 查询,从而避免注入攻击。比如,在 PHP 中使用 PDO 或 MySQLi,或在 Java 中使用 JDBC。

例如,使用 PDO 进行安全查询:

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password');
$stmt->execute([':username' => $username, ':password' => $password]);
2. 禁用堆叠查询

对于支持堆叠查询的数据库(如 MySQL、MariaDB),可以通过禁用多语句执行来防止堆叠注入。例如,禁用 MySQL 的 multi_statements 选项:

SET SESSION sql_mode = 'NO_BACKSLASH_ESCAPES';
3. 最小化数据库权限

确保数据库用户只具有执行特定查询所需的最小权限。如果数据库用户没有删除表或更新表的权限,即使攻击者能够注入查询,操作的影响也会受到限制。

4. 输入验证与过滤

对用户输入进行严格的过滤和验证,确保输入的内容符合预期格式。可以使用白名单方式过滤掉危险字符(如 ;--/* 等)。

5. 使用 Web 应用防火墙(WAF)

配置 Web 应用防火墙(WAF)来监控并过滤 SQL 注入攻击,检测并拦截堆叠注入等恶意行为。

6. 错误信息隐藏

不要将详细的数据库错误信息暴露给用户。攻击者通过错误信息可以了解数据库结构并精确构造注入攻击。

3)堆叠注入注入例
  • 例题#堆叠注入用户信息查询
    • 示例操作:
      • 在SQLi-labs的第38关,通过传入ID参数,利用堆叠注入插入新用户数据。
      • 语句示例: id=1';insert into users(id,username,password) values('33','mc2','nihao')--
      • 执行结果: 成功插入新用户数据,ID为33,用户名为mc2,密码为nihao。
4)堆叠注入与联合注入的区别
  • 区别:
    • 执行语句类型:
      • 联合注入(Union Injection): 只能执行查询语句(SELECT),且要求前后语句的字段数量和数据类型一致。
      • 堆叠注入(Stacked Injection): 可以执行任意类型的语句,包括INSERT、UPDATE、DELETE等。
    • 适用数据库: 堆叠注入的适用性受限于数据库类型,如MySQL支持,而Oracle不支持。
2. 题型(SQLi-labs Less-38)

1)题目解析
  • 审题过程:
    • 目标: 通过堆叠注入在users表中插入新用户数据。
    • 已知: SQLi-labs环境,第38关,ID参数存在SQL注入漏洞。
  • 解题思路:
    • 构造堆叠注入语句,利用分号结束当前查询语句,并拼接INSERT语句插入新用户。
  • 答案:
    • 注入语句: id=1';insert into users(id,username,password) values('33','mc2','nihao')--
  • 易错点:
    • 忘记闭合前面的单引号。
    • 未使用注释符号(--)注释掉后面的LIMIT语句。
3. 堆叠注入的局限性
  • 局限性:
    • 数据库支持: 并非所有数据库都支持堆叠注入,如Oracle等数据库不支持。
    • 安全性: 由于可以执行任意语句,堆叠注入的风险较高,需严格防范。

总结

堆叠注入是 SQL 注入攻击的一种形式,攻击者通过注入多个 SQL 语句来执行多个操作。通过分号 ; 连接的多个查询可能包括数据泄露、数据删除、数据修改等恶意操作。为了防范堆叠注入,开发者应使用参数化查询、禁用堆叠查询、限制数据库权限、进行输入验证,并使用 Web 应用防火墙等安全措施。

知识点

核心内容

考试重点/易混淆点

难度系数

堆叠注入定义

堆叠注入是通过在SQL语句结尾后继续添加新的SQL语句,实现多条SQL语句一次执行。

堆叠注入与联合注入的区别,堆叠注入的执行条件和局限性。

★★★

堆叠注入演示

演示了如何通过分号闭合前一条SQL语句,并在其后添加新的SQL语句进行注入。

堆叠注入的实际操作步骤和注入点的识别。

★★★★

堆叠注入条件

堆叠注入需要数据库支持堆叠执行,如MySQL,而Oracle等数据库则不支持。

不同数据库对堆叠注入的支持情况。

★★

堆叠注入与联合注入对比

堆叠注入可以执行多种类型的SQL语句(如INSERT、DELETE、UPDATE),而联合注入只能执行SELECT语句。

堆叠注入和联合注入的适用场景和限制。

★★★

堆叠注入实战应用

在实际环境中,通过堆叠注入可以插入、删除或修改数据库中的数据。

堆叠注入的实战技巧和防御方法。

★★★★

WIFI绕过与防御篇章预告

预告了下节课将学习WIFI绕过和防御相关的内容。

-

26-2 SQL注入攻击 - 堆叠注入(Stacked Injection)
weixin_43263566的博客
03-10 791
堆叠注入(Stacked Injection)是指一次性执行多条 SQL 语句的注入技术。在实际应用中,堆叠注入通常指在MySQL数据库中,通过在命令行中以分号(;)分隔每条语句来实现同时执行多条语句的注入攻击。因此,堆叠注入即为一堆(多条)SQL语句一起执行的注入攻击方式。
Sql漏洞注入堆叠注入
Matheus的博客
07-30 1338
堆叠注入 堆叠查询注入介绍 Stackedinjections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而 unioninje
58-深入解析SQL注入堆叠注入、二次注入SqlMap实战技巧
最新发布
m0_70346880的博客
04-29 998
SQL注入作为Web安全的头号威胁之一,其攻击手法不断演进。本文将从两种高级注入技术(堆叠注入、二次注入)入手,结合自动化工具SqlMap的实战技巧,深入探讨攻击原理、利用方法及防御策略。堆叠注入的核心在于通过分号分隔执行多条SQL语句,其成功需满足以下条件:漏洞存在:目标存在SQL注入点分号未过滤:未对进行有效过滤多语句支持:摘录小迪安全58天
SQL注入——堆叠注入
Zhujiangcheng的博客
06-08 1055
SQL注入简介——堆叠注入(一)SQL注入的概述和分类1.概述2.分类①按照数据提交的方式来分类:②按照执行效果来分类:③按照注入点类型来分类:(二)堆叠注入1.概念2.局限 (一)SQL注入的概述和分类 1.概述   首先说,什么是SQL注入?   程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤、转义、限制,或者处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据,这一构造字符串非法获取数据的过程就被称为SQL注入。 2.分类 (参考来源: link.) ①按照数
sql注入堆叠注入
m0_68976043的博客
02-23 2393
堆叠注入产生原因是因为mysql_multi_query()支持多行查询,如果没有这个函数我们使用不了堆叠注入,其次堆叠注入通过分号分隔。
SQL注入堆叠注入
07-15 1141
SQL-堆叠注入
SQL注入-堆叠注入
m0_53820621的博客
08-15 1571
数据库支持堆叠查询,所谓堆叠查询就是执行多条语句,语句以;隔开。并且代码使用了支持堆叠查询的函数,列如PHP的。堆叠注入就是在第二条语句中构造payload,注:页面只返回第一条语句,不返回第二条语句。堆叠注入后果很严重,可以直接对数据库增删改。...
SQL注入- 堆叠注入
m0_52149675的博客
04-05 3152
​stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql 中,主要是命令行中,每一条语句结尾加;表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。
第18天:WEB漏洞-SQL注入堆叠及WAF绕过注入1
08-03
堆叠注入(Stacked Injections)是 SQL 注入的一种特殊形式,即在一个 SQL 语句中执行多个语句。 在 MySQL 中,每个语句结尾加;表示语句结束。因此,我们可以将多个语句结合起来,形成一个堆叠注入。例如: id=-1...
SQL注入-07】堆叠注入案例—以sqli-labs-less38为例
m0_64378913的博客
05-05 1129
目录1 堆叠注入概述1.1 定义1.2 与union联合查询注入的对比1.3 局限性2 堆叠注入案例—以sqli-labs-less38为例2.1 实验平台2.2 实验目标2.3 堆叠注入实验步骤2.3.1 注入前准备2.3.2 判断注入点及注入类型2.3.3 判断回显列数及回显位置2.3.4 union注入获取库名表名字段名2.3.5 堆叠注入3 总结参考文章 1 堆叠注入概述 1.1 定义 英文为 stacked injection。 在SQL数据库中,每条语句是以;分开的,堆叠注入就是一次性注入并执
堆叠注入的不同姿势——SQL注入写题笔记
2401_82847928的博客
09-03 1437
可以看到把我们第一种方法使用的set和prepare都过滤了,不过没有关系,我们继续使用handler构造payload!使用了strstr对set和prepare过滤,但是这个函数过滤并不严格,采用大小写绕过。handler命令是mysql专有的一个查询表数据的函数,但是不如select功能强大。成功得到字段“flag”,很明显我们就只剩最后一步,爆出该字段的数据即可。但是select已经被比较严格地过滤了,我们需要寻找其他方法。这道题与第一题相似度很高,但是正则表达式过滤的范围有所差别。
sql注入 - 堆叠注入
wcy19990628的博客
02-10 383
5、堆叠(多语句)注入 http://localhost/sqli-labs-master/Less-38/?id=-1'; select "<?php phpinfo();?>" into outfile "D:\\phpStudy\\PHPTutorial\\WWW\\aaaaaaaaqq.php" ;-- 在php连接mysql注入中用到了musqli_multi_query...
SQL注入堆叠注入
2201_75572825的博客
08-02 401
平常我们注入时都是通过对原来SQL语句传输数据的地方进行相关修改,注入情况会因为该语句本身的情况而受到相关限制,例如一个select语句,那么我们注入时也只能执行select操作,无法进行增、删、改,其他语句也同理,所以可以说我们能够注入的十分有限。但堆叠注入则完全打破了这种限制,其名字顾名思义,就是可以堆一堆sql注入进行注入,这个时候我们就不受前面语句的限制可以为所欲为了。
sql注入知识---堆叠注入
尘玥的故事
04-11 2205
堆叠注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。根据数据库类型决定是否支持多条语句执行(核心)
SQL注入--堆叠注入
qq_37107430的博客
12-10 837
堆叠注入概念:在 SQL 中, 分号(;) 是用来表示一条 sql 语句的结束。 试想一下我们在 ; 结束一个 sql语句后继续构造下一条语句, 会不会一起执行? 因此这个想法也就造就了堆叠注入
sql注入-堆叠注入】多语句执行、结合其他注入
07-12 5860
堆叠注入】相比其他注入能执行的操作更多
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值