WEB渗透学习笔记4——堆叠注入和二次注入

堆叠查询注入攻击

Stackedinjections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句（多条）一起执行。而在真实的运用中也是这样的，我们知道在mysql中，主要是命令行中，每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql 语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而 unioninjection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句

使用条件

堆叠注入的使用条件十分有限，其可能受到API或者数据库引擎，又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用，利用mysqli_multi_query()函数就支持多条sql语句同时执行，但实际情况中，如PHP为了防止sql注入机制，往往使用调用数据库的函数是mysqli_ query()函数，其只能执行一条语句，分号后面的内容将不会被执行，所以可以说堆叠注入的使用条件十分有限，一旦能够被使用，将可能对网站造成十分大的威胁

堆叠查询注入攻击构造

正常sql语句：Select * from users where id=’1’’;

注 入 sql 语 句 ： Select * from users where id=’1’;select if(length(database())>5,sleep(5),1)%23;

Payload= ‘;select if(length(database())>5,sleep(5),1)%23

Payload= ‘;select if(substr(user(),1,1)=‘r’,sleep(3),1)%23 如此句：从堆叠注入语句中可以看出，第二条SQL语句(selectif(substr(user(),1,1)=‘r’,sleep(3),1)%23 就是时间盲注的语句。

堆叠注入和union的区别在于，union后只能跟select，而堆叠后面可以使用insert，update， create，delete等常规数据库语句

• 【sqli-labs】less38 GET -Stacked Query Injection -String based (GET 型堆叠查询字符型注入):

  • 127.0.0.1/sqli/Less-39/?id=1‘; insert into users values(‘15’,‘lin’,‘325’) --+

• 【sqli-labs】less39 GET -Stacked Query Injection -Intiger based (GET 型堆叠查询整型注入):

  • 127.0.0.1/sqli/Less-39/?id=1; insert into users values(‘16’,‘mu’,‘123’) --+

二次注入攻击

二次注入可以理解为，攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到 SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理，但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中，当Web程序调用存储在数据库中的恶意数据并执行SQL查询时，就发生了SQL二次注入

二次注入思路

• 第一步

  插入恶意数据进行数据库插入数据时，对其中的特殊字符进行了转义处理，在写入数据库的时候又保留了原来的数据

• 第二步

  引用恶意数据开发者默认存入数据库的数据都是安全的，在进行查询时，直接从数据库中取出恶意数据，没有进行进一步的检验的处理

二次注入sqli-labs练习

【sqli-labs】less - 24 Second Degree Injections Real treat -Store Injections (二次注入)：

1. 注册用户名admin’#

2. 创建成功后，我们该用户登录后会进入修改密码的页面

3. 可以进行注入，来修改admin的密码

   $sql="UPDATEusersSETPASSWORD{=}^{\prime }$pass’ where username=‘admin’#’ and password=’$curr_pass’ ";

   后面的curr_pass已经被注释了，所以我们只用在New password输入我们想改的密码，就会对admin这个用户的密码进行修改

4. 点击提交，admin密码已经被更改

图片转存中…(img-RGcPkh6I-1595584171225)]

4. 点击提交，admin密码已经被更改