SQL注入之二次注入 – 作者:吉吉国王乱杀

原理:用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的时候不会进行处理,所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。

图解:

1600691018_5f689b4a264c5e1261c28.png!small

二次注入比普通的注入更难发现,很难被工具扫描出来。

原理大概知道了,接下来就是实战了

以sql-libs第24关为例

1600691048_5f689b689618f0858e51f.png!small

有登录,注册页面

好奇的我就试了一下弱口令登录

1600691066_5f689b7a4a8a5839e5600.png!small

啧啧啧,登陆成功了!不过这和本文没有联系,回到正题!

我们利用注册功能,将我们的数据插入数据库里。

1600691103_5f689b9f20667756a6b43.png!small

登陆试试

1600691124_5f689bb47cf9ec068bd49.png!small

登录进去,现在我们修改密码

1600691132_5f689bbc342f8bf4d9a4c.png!small

我们查看一下

1600691140_5f689bc457210872344a9.png!small

我们登录的是admin’#,但是修改的却是admin账号的密码,那为什么admin账号的密码会被改变呢???

我们去靶场源文件pass_chang.php看一下 找到这句话

$ sql = “UPDATE users SET PASSWORD=’$ pass’ where username=’$ username’ and password=’$ curr_pass’ “;

我们的用户名被admin'#传入进去,在数据库里#号为注释符 然后这句话就变成了

$ sql = “UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘#’ and password=’$ curr_pass’ “;

然后就是

$ sql = “UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘

从而将用户名为admin的账号的密码修改了

数据库还是对自己太过相信,认为数据库里的数据都是正常的,当从数据库里调用的时候没有经过过滤,这就造成了二次注入。

在源码里找到了mysql_real_escape_string($_POST["login_user"]);这个函数将我们的输入的数据进行转义

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

\x00
\n
\r
\
'
"
\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

emmmm

再次演示一下攻击

先创建一个list.php

<?php
include("../sql-connections/sql-connect.php");
error_reporting(0);
$sql="SELECT * FROM users ORDER BY id";
$result=mysql_query($sql);
$num=mysql_num_rows($result);
for ($i=0; $i < $num; ++$i) {
$row = mysql_fetch_array($result);
$username = $row[1];
$sql_detail = "SELECT * FROM users where username='$username'";
$result_detail=mysql_query($sql_detail);
$num_detail = mysql_num_rows($result_detail);
for ($j=0; $j < $num_detail; ++$j) {
$row_detail = mysql_fetch_array($result_detail);
echo<<<END
<table border="1" style="table-layout:fixed;" width="1000">
<tr>
<th>$row_detail[1]</th>
<th>$row_detail[2]</th>
</tr>
</table>
END;
}
}
?>

我选择把list.php和sql-connect.php放在一起

现在我们在注册一个用户名1’ union select 1,user(),database()#

然后访问list.php

1600691156_5f689bd474fda870ec94d.png!small

用户名和密码就被打印出来了

我们分析一下流程。

list.php包含了sql-connect.php,我们创建好账号后,再次登录使用1‘ union select 1,user(),database() #

$ username = $row[1]; $ sql_detail = “SELECT * FROM users where username=’$ username'”;

我们的username传入进去

$ sql_detail = “SELECT * FROM users where username=’1’ union select 1,user(),database() #’”;

也就是语句变成了

$ sql_detail = “SELECT * FROM users where username=union select 1,user(),database() ”;

我们从表里就打印出了账号和密码这张表。

来源:freebuf.com 2020-09-21 20:26:42 by: 吉吉国王乱杀

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论