SQL注入之二次注入
原理:用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的时候不会进行处理,所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。
图解:
二次注入比普通的注入更难发现,很难被工具扫描出来。
原理大概知道了,接下来就是实战了
以sql-libs第24关为例
有登录,注册页面
好奇的我就试了一下弱口令登录
啧啧啧,登陆成功了!不过这和本文没有联系,回到正题!
我们利用注册功能,将我们的数据插入数据库里。
登陆试试
登录进去,现在我们修改密码
我们查看一下
我们登录的是admin’#,但是修改的却是admin账号的密码,那为什么admin账号的密码会被改变呢???
我们去靶场源文件pass_chang.php看一下 找到这句话
$ sql = "UPDATE users SET PASSWORD=’$ pass’ where username=’$ username’ and password=’$ curr_pass’ ";
我们的用户名被admin’#传入进去,在数据库里#号为注释符 然后这句话就变成了
$ sql = "UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘#’ and password=’$ curr_pass’ ";
然后就是
$ sql = "UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘
从而将用户名为admin的账号的密码修改了
数据库还是对自己太过相信,认为数据库里的数据都是正常的,当从数据库里调用的时候没有经过过滤,这就造成了二次注入。
在源码里找到了mysql_real_escape_string($_POST[“login_user”]);这个函数将我们的输入的数据进行转义
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
下列字符受影响:
\x00
\n
\r
’
"
\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
emmmm
再次演示一下攻击
先创建一个list.php
<?php include("../sql-connections/sql-connect.php"); error_reporting(0); $sql="SELECT * FROM users ORDER BY id"; $result=mysql_query($sql); $num=mysql_num_rows($result); for ($i=0; $i < $num; ++$i) { $row = mysql_fetch_array($result); $username = $row[1]; $sql_detail = "SELECT * FROM users where username='$username'"; $result_detail=mysql_query($sql_detail); $num_detail = mysql_num_rows($result_detail); for ($j=0; $j < $num_detail; ++$j) { $row_detail = mysql_fetch_array($result_detail); echo<<我选择把list.php和sql-connect.php放在一起
现在我们在注册一个用户名1’ union select 1,user(),database()#
然后访问list.php
用户名和密码就被打印出来了
我们分析一下流程。
list.php包含了sql-connect.php,我们创建好账号后,再次登录使用1‘ union select 1,user(),database() #
$ username = $row[1]; $ sql_detail = “SELECT * FROM users where username=’$ username’”;
我们的username传入进去
$ sql_detail = “SELECT * FROM users where username=’1’ union select 1,user(),database() #’”;
也就是语句变成了
$ sql_detail = “SELECT * FROM users where username=union select 1,user(),database() ”;
我们从表里就打印出了账号和密码这张表。