漏洞挖掘与防范（基础篇）SQL注入漏洞

本文记录代码审计的学习过程。

教程为《代码审计-企业级Web代码安全架构》，练习靶场为DVWA、Sqli-labs-master和Bugku。      

目录

一、挖掘

1. 普通注入

2. 编码注入

二、防范

1. 开启gpc/rutime魔术引号

2. 过滤函数和类

3. PDO prepare 预编译

4. 关键字过滤

---

        SQL注入漏洞是我们知道的最多的漏洞，原理是由于开发者在编写操作数据库代码时，直接将外部可控的参数拼接到SQL语句中，没有经过任何过滤就直接放入数据库引擎执行。
        SQL注入是直接对数据库进行攻击的，通常利用SQL注入攻击方式有下面几种：一是在权限比较大的情况下，通过SQL注入可以直接写入webshell，或者执行系统命令等；二是在权限较小的情况下，可以通过注入来获得管理员的密码等信息，或者修改数据库内容进行一些钓鱼或者其他间接利用。
 

一、挖掘

1. 普通注入

   DVWA源代码：

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]); 

   DVWA 中用到的防御函数：

            mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

            下列字符受影响：

    \x00
    \n
    \r
    \
    '
    "
    \x1a

            如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

    语法：
    mysql_real_escape_string(string,connection)

 

2. 编码注入

（1）宽字节注入

   sqli-labs源代码：

function check_addslashes($string)
{
    $string= addslashes($string);    
    return $string;
}

// take the variables 
if(isset($_GET['id']))
{
$id=check_addslashes($_GET['id']);
//echo "The filtered request is :" .$id . "<br>";

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

mysql_query("SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#00FF00">';	
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

   sqli-labs 中用到的防御函数：

            addslashes() 对字符串进行反斜杠转义。

 

  [GET] 此时，我们可以用宽字节注入，注入参数中带入%df%27，把程序中过滤的\(%5c)吃掉。

  使之在MySQL中运行的SQL语句为：

select * from user where username = '運' and 1=1#'

    Payload：

 

  [POST] 此时，我们可以将utf-8转换为utf-16或 utf-32，例如将 ' 转为utf-16为 �'。

    Payload：

 

 

    宽字节注入防御手段：

1) 在执行查询之前先执行set names 'gbk',character_set_client=binary设置字符集

2) 使用mysql_set_charset('gbk')设置编码，然后使用mysql_real_escape_string()过滤

3) 使用pdo方式，在php5.3.6及以下版本需要设置setAttribute(PDO:ATTR_EMULATE_PREPARES,false); 来禁用prepare statement的仿真效果

 

（2）二次urldecode注入

   bugku源代码：

if(eregi("hackerDJ",$_GET[id])) {
    echo("not allowed!");
    exit();
}

$_GET[id] = urldecode($_GET[id]);

if($_GET[id] == "hackerDJ")
{
    echo "Access granted!";
    echo "flag";
}

    本题中用到的函数：

            urldecode()，易导致二次编码生成单引号而引发注入。

    Payload：

            使用小葵二次url编码即可，只选一个字母即可。

 

 

二、防范

1. 开启gpc/rutime魔术引号

通常数据污染有两种方式：

             一是应用被动接收参数，类似于GET、POST等;

             二是主动获取参数，类似于读取远程页面或者文件内容等。

所以防止SQL注入的方法就是要守住这两条路。

 

在本书第1章第3节介绍了PHP的核心配置，里面详细介绍了GPC等魔术引号配置的方法：

             magic_quotes_gpc()负责对GET、POST、COOKIE的值进行过滤;

             magic_quotes_runtime()对从数据库或者文件中获取的数据进行过滤。

通常在开启这两个选项之后能防住部分SQL注入漏洞被利用。

 

为什么说是部分呢？

因为它们只对单引号(')、双引号(")、反斜杠(\)及空字符NULL进行过滤，在int型的注入上是没有多大作用的。

PHP4.2.3以及之前的版本可以在任何地方设置开启，即配置文件和代码中，之后的版本可以在 php.ini、httpd.conf 以及.htaccess中开启。
 

 

2. 过滤函数和类

几个常见的：

addslashes()

mysql_real_escape_string()

intval()

 

3. PDO prepare 预编译

       如果之前了解过.NET的SqlParameter或者java里面的prepareStatement,那么就很容易能够理解PHP pdo的prepare,它们三个的作用是一样的，都是通过预编译的方式来处理数据库查询。

       我们先来看一段代码:

dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->exec("set names 'gbk'");
$sql = "select * from test where name=? and password=?"
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($name, $pass));

       上面这段代码虽然使用了pdo的prepare方式来处理sql查询，但是当PHP版本<5.3.6之前还是存在宽字节SQL注人漏洞，原因在于这样的查询方式是使用了PHP本地模拟prepare,再把完整的SQL语句发送给MySQL服务器，并且有使用set names 'gbk'语句，所以会有PHP和MySQL编码不一致的原因导致SQL注人，正确的写法应该是使用ATTR_ EMULATE_ PREPARES来禁用PHP本地模拟prepare，代码如下:

dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbh->exec("set names 'utf8'");
$sql = "select * from test where name=? and password=?"
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($name, $pass));

 

4. 关键字过滤

   bugku中一道题的源代码：

//过滤sql 
$array = array('table','union','and','or','load_file','create','delete','select','update',
'sleep','alter','drop','truncate','from','max','min','order','limit'); 
foreach ($array as $value) 
{ 
    if (substr_count($id, $value) > 0) 
    { 
        exit('包含敏感关键字！'.$value); 
    } 
} 

//xss过滤 
$id = strip_tags($id); 
$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1"; 

    本题中用到的函数：

            strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

那么我们可以利用这点，在union等敏感字中间加上 <a><br>等标签。

    Payload：

http://103.238.227.13:10087/?id=-1 u<a>nion selec<a>t  1,hash fro<a>m .key