SQL注入之二次注入 – 作者:吉吉国王乱杀-安全小百科

SQL注入之二次注入 – 作者:吉吉国王乱杀

原理：用户向数据库里存入恶意的数据，在数据被插入到数据库之前，肯定会对数据库进行转义处理，但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里，而一般都默认为数据库里的信息都是安全的，查询的时候不会进行处理，所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。

图解：

二次注入比普通的注入更难发现，很难被工具扫描出来。

原理大概知道了，接下来就是实战了

以sql-libs第24关为例

有登录，注册页面

好奇的我就试了一下弱口令登录

啧啧啧，登陆成功了！不过这和本文没有联系，回到正题！

我们利用注册功能，将我们的数据插入数据库里。

登陆试试

登录进去，现在我们修改密码

我们查看一下

我们登录的是admin’#，但是修改的却是admin账号的密码，那为什么admin账号的密码会被改变呢？？？

我们去靶场源文件pass_chang.php看一下找到这句话

$ sql = “UPDATE users SET PASSWORD=’$ pass’ where username=’$ username’ and password=’$ curr_pass’ “;

我们的用户名被admin'#传入进去，在数据库里#号为注释符然后这句话就变成了

$ sql = “UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘#’ and password=’$ curr_pass’ “;

然后就是

$ sql = “UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘

从而将用户名为admin的账号的密码修改了

数据库还是对自己太过相信，认为数据库里的数据都是正常的，当从数据库里调用的时候没有经过过滤，这就造成了二次注入。

在源码里找到了mysql_real_escape_string($_POST["login_user"])；这个函数将我们的输入的数据进行转义

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响：

\x00
\n
\r
\
'
"
\x1a
如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

emmmm

再次演示一下攻击

先创建一个list.php

<?php
include("../sql-connections/sql-connect.php");
error_reporting(0);
$sql="SELECT * FROM users ORDER BY id";
$result=mysql_query($sql);
$num=mysql_num_rows($result);
for ($i=0; $i < $num; ++$i) { 
$row = mysql_fetch_array($result);
$username = $row[1];
$sql_detail = "SELECT * FROM users where username='$username'";
$result_detail=mysql_query($sql_detail);
$num_detail = mysql_num_rows($result_detail);
for ($j=0; $j < $num_detail; ++$j) { 
$row_detail = mysql_fetch_array($result_detail);
echo<<<END
<table border="1" style="table-layout:fixed;" width="1000">
<tr>
<th>$row_detail[1]</th>
<th>$row_detail[2]</th>
</tr>
</table>
END;
}
}
?>