- 1深入探索当下热门的开源AI大模型_处理图片最好的开源ai大模型
- 2锐捷交换机模拟环境搭建教程_锐捷模拟器
- 3Android Studio或IntelliJ IDEA使用经验_project iqiyi is using the following jdk location
- 4顺丰面试题(2018 顶级互联网公司面试题系列)
- 5《面试》游戏开发常用面试问题以及答案_unity lua与c#或c语言相互调用的底层实现原理是什么
- 6机器人工程师学习计划_凸优化大几学
- 7centos7中安装sql server_sendos7能装sqlserver吗
- 8windows电脑远程连接ubuntu20.04服务器,解决黑屏等一系列问题_ubuntu20.04远程桌面黑屏
- 9Hadoop应用案例分析_hadoop 案例
- 10Kinect系列1:(Windows环境配置)Python3+Pykinect2+KinectV2相机读取彩色图与深度图_kinect python
SQL 注入之二次注入_sql二次注入
赞
踩
目录
1、原理
二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到 SQL 查询语句所导致的注入。防御者可能在用户输入恶意数据时,对其中的特殊字符进行了转义处理;但在恶意数据插入到数据库时,被处理的数据又被还原并存储在数据库中,当 Web 程序调用存储在数据库中的恶意数据并执行 SQL 查询时,就发生了 SQL 二次注入。
二次注入的过程
(1)先构造语句(此语句含有被转义字符的语句,如 mysql_escape_string、mysql_real_escape_string 转义)
(2)将我们构造的恶意语句存入数据库(被转义的语句)
(3)第二次构造语句(结合前面已被存入数据库的语句构造。因为系统没有对已存入的数据做检查,成功注入)
2、实验过程
以 sqli-labs less 24 为例
(1)查看初始 users 表
发现初始 users 表中账号 admin 的密码为 admin
(2)注册用户
在网站注册名为 admin'-- - 密码为 123456 的用户
注册用户的主要代码如下:
- if (isset($_POST['submit']))
- {
- $username= mysql_escape_string($_POST['username']) ;
- $pass= mysql_escape_string($_POST['password']);
- $re_pass= mysql_escape_string($_POST['re_password']);
- //对注册账号时输入的数据进行转义
-
- echo "<font size='3' color='#FFFF00'>";
- $sql = "select count(*) from users where username='$username'";
- $res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
- $row = mysql_fetch_row($res);
-
- if (!$row[0]== 0)
- {
- ?>
- <script>alert("The username Already exists, Please choose a different username ")</script>;
- <?php
- header('refresh:1, url=new_user.php');
- }
- else
- {
- if ($pass==$re_pass)
- {
- $sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";
- //创建账号的代码
- mysql_query($sql) or die('Error Creating your user account, : '.mysql_error());
-
- .........
我们可以在该 php 文件末尾中添加一句代码,在网页中打印出创建的用户名。把自动跳转页面的代码注释,方便查看效果。
echo "Hint: The Query String you input is escaped as : ".$username ."<br>";
可以发现此时的用户名 admin'-- - 的单引号已被转义,不能在注册用户时就直接进行 sql 注入,只能进行二次利用,去实现 sql 注入获取数据。
(3)修改用户密码
我们先查看一下此时的 users 表,发现多了一个用户 admin'-- -,而不是刚刚网页打印出来的 admin\'-- -,这是因为创建用户的代码只是在单引号前加了一个 \ ,使得在执行的时候单引号被认为是字符串里的一个字符,而不是被当成 sql 语句中的单引号。
修改用户 admin'-- - 的密码
再一次查看 users 表,发现用户 admin‘-- - 的密码并没有被修改,而是用户 admin 的密码被修改了。于是我们就有了 admin 的账户密码。
3、原因
在网站设计时,虽然过滤了注册的信息,把特殊字符进行了转义,但是在从数据库调用从外部保存下来的数据时,并没有进行过滤,使得“admin'-- -”被代入到 sql 语句执行,执行了这段 payload,达到了修改用户 admin 的密码的目的
具体代码
- #原语句
- UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'
-
- #插入 payload 后的语句
- UPDATE users SET PASSWORD='$pass' where username='admin'-- -' and password='$curr_pass'
- #此时 'admin' 后的语句被注释
-
- #真正的生效的语句
- UPDATE users SET PASSWORD='$pass' where username='admin'
- #从而达到了修改用户 admin 密码的目的
4、防御措施
(1)对外部提交数据谨慎
(2)从数据库取数据时,不能轻易相信查询出的数据,要做到同样的转义或是甄别
