sql注入简单实现二次注入

Posted i春秋

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sql注入简单实现二次注入相关的知识,希望对你有一定的参考价值。

【sql注入】简单实现二次注入

本文转自:i春秋社区

 

测试代码1:内容详情页面

[php纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
    include(‘./connect.php‘); //引入数据库配置文件
    $id=$_GET[‘id‘];
    $select_sql="SELECT * FROM article WHERE title=‘$id‘";
    echo $select_sql;
    mysql_query(‘set names utf8‘);
    $select_sql_result=mysql_query($select_sql);
    $date=mysql_fetch_assoc($select_sql_result);
 ?>
 <!DOCTYPE html>
 <html>
   <head>
     <meta charset="utf-8">
     <title><?php echo $date[‘title‘]."啦啦啦啦啦啦"?></title>
   </head>
   <body>
      <h1><?php echo $date[‘title‘] ?></h1><br />
      作者:<?php echo $date[‘author‘] ?><br/>
      时间:<?php echo date("Y-m-d H:i:s",$date[‘dateline‘])?><br />
      概述: <?php echo $date[‘description‘]; ?><br />
      正文: <?php echo $date[‘content‘] ?>
   </body>
 </html>


测试代码2:内容添加页面

[PHP] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
<?php
   include(‘../connect.php‘);
   $title=addslashes($_POST[‘title‘]);  //addslashes 将预定义字符串转义
   $author=addslashes($_POST[‘author‘]);
   $description=addslashes($_POST[‘description‘]);
   $content=addslashes($_POST[‘content‘]);
   $dataline=time();
   $insert="INSERT INTO article(title,author,description,content,dateline) VALUES(‘$title‘,‘$author‘,‘$description‘,‘$content‘,‘$dataline‘)";
   echo $insert;
   mysql_query("set names utf8"); //设置编码
   if($result=mysql_query($insert)){
     $num=mysql_affected_rows($con);
     echo $num;
     }
 ?>


首先我们简单分析分析一下这两段代码。
测试代码1是一个内容显示页面,通过传入的title在数据库进行查询,然后在页面调用输出,我们可以看到传递的参数id并没有经过过滤,可以成为一个典型的字符串GET注入,但是我们今天要讨论的是二次注入,暂时不考虑这个注入。
测试代码2是一个添加页面,通过表单POST的数据执行INSERT语句插入数据,成功后返回数据库影响行数,而且这里的每一个参数都用addslashes函数进行了转义。
两段代码结合,我们可以发现一个典型的二次注入点,虽然文章添加页面中过滤的非常严格,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,再配合内容显示页面中的查询是通过title查询的,所以我们就可以利用这个构造一个二次注入。
首先我们插入一条注入语句

技术分享 
可以看到我们的单引号已经被转义,但是最后返回了一条“1”,证明我们的数据插入成功了,我们去数据库看一下
技术分享 

可以看到 转义用的“\”并没有插入数据库,但是我们的单引号还是成功插入了。我们来的主页面。

技术分享 
看到了我们刚插入的数据,注意左下角的链接,可以看到ID的参数就是我们的注入语句。打开连接

技术分享 
发现成功返回了 user() database()。
简单分析一下,当我们打开连接
http://127.0.0.1/CMS/article.show.php?id=1111‘union%20select%20null,null,null,user(),database(),null‘
URL中的ID被我们测试代码1中 $id=$_GET[‘id‘]; 所获取并带入了sql语句查询,最终执行的SQL语句为
SELECT * FROM article WHERE title=‘1111‘union select null,null,null,user(),database(),null‘‘
------------------------------------------------------------
修复的方法:最基本的就是在执行INSERT前判断转义后的字符是否存在“\‘”如果存在就不执行INSERT。
其次在$id=GET[‘id‘]获取参数时,进行过滤例如$id=addslashes($_GET[‘id‘]),这样在获取到的参数中也会被转义无法执行

本文来源:http://bbs.ichunqiu.com/thread-11561-1-1.html

 

以上是关于sql注入简单实现二次注入的主要内容,如果未能解决你的问题,请参考以下文章

安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段

以下代码片段是不是容易受到 Rails 5 中 SQL 注入的影响?

PHP代码审计 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入

Sql 注入详解:宽字节注入+二次注入

web安全sql注入堆叠&二次&DNSlog&高权限注入

SQL注入 | 二次注入