揭开堆叠注入的奥秘：一次拿取 Shell 的总结

堆叠注入简介

堆叠注入是一种 SQL 注入攻击，它利用 SQL 语句中堆叠多个查询来绕过安全过滤。在 SQL 语句中，分号 (;) 通常用作查询分隔符。然而，在堆叠注入中，攻击者可以利用某些数据库系统忽略分号作为分隔符的特性，将多个查询堆叠在一起。这使得攻击者能够在单个查询中执行多个操作，其中一些操作可能是未经授权的。

MSSQL 中的堆叠注入

在 MSSQL 数据库中，堆叠注入的原理是基于对 EXECUTE AS 语句的利用。此语句允许用户以指定用户身份执行 Transact-SQL 语句。攻击者可以通过堆叠查询来执行 EXECUTE AS 语句，从而提升自己的权限并获得对系统的 Shell 访问。

实战经验

在一次渗透测试中，我遇到了一个 MSSQL 数据库的堆叠注入漏洞。该漏洞存在于一个 Web 应用程序中，该应用程序允许用户通过 GET 请求提交 SQL 查询。我使用以下步骤利用了此漏洞：

1. 识别注入点： 我首先使用 SQLMap 等工具扫描 Web 应用程序以识别 SQL 注入漏洞。
2. 构造堆叠注入查询： 我构造了一个堆叠注入查询，其中第一个查询创建了一个名为 "attacker" 的新用户，并授予其 sysadmin 权限。第二个查询使用 EXECUTE AS 语句以 "attacker" 用户身份执行 "xp_cmdshell" 语句，该语句允许我在系统上执行命令。
3. 绕过过滤： 应用程序使用了 WAF 来过滤查询中的某些字符，例如分号。我使用十六进制编码绕过了此过滤，将分号编码为 "%3B"。
4. 执行查询： 我将构造的查询作为 GET 请求的参数发送到应用程序。
5. 获取 Shell： 成功执行查询后，我获得了对系统 Shell 的访问权限。

结论

这次堆叠注入的经历让我对这种攻击技术有了更深入的理解。我了解到如何识别和利用堆叠注入漏洞，以及如何绕过常见的防御措施。我还认识到，在网络安全领域保持更新知识和持续学习非常重要。我希望这篇总结能帮助其他网络安全从业人员提高他们对堆叠注入的理解和防御能力。

致谢

感谢以下资源，它们帮助我了解了堆叠注入并成功利用了此漏洞：

• OWASP SQL Injection Cheat Sheet
• MSSQL Stacked Queries Explained
• SQLMap Tutorial