sql注入--8二次注入

二次注入

简介

Web应用程序已经从上世纪简单的脚本演变成了如今的单页应用。然而，随着Web应用程序的不断复杂化不同类型的安全漏洞也随之而来。其中有一种被称之为二次注入的漏洞，该漏洞是一种在Web应用程序中广泛存在的安全漏洞形式。相对于一次注入漏洞而言，二次注入漏洞更难以被发现，但是它却具有与一次注入攻击漏洞相同的攻击威力。

原理

二次注入可以理解为，攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。

防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理，但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中，当Web程序调用存储在数据库中的恶意数据并执行SQL查询时，就发生了SQL二次注入。

通俗一点的解释：用户输入数据–>被防御者进行处理–>再将数据存储至数据库中–>数据恢复成本来的面貌–>再次执行操作调用数据库中数据时，发生二次注入

步骤

1.插入恶意数据

进行数据库插入数据时，对其中的特殊字符进行了转义处理，在写入数据库的时候又保留了原来的数据。

2.引用恶意数据

开发者默认存入数据库的数据都是安全的，在进行查询时，直接从数据库中取出恶意数据，没有进行进一步的检验的处理。

二次注入靶场

sqli-labs-master中的less-24

注意

当插入数据后，如果存在数据调用(看是否有数据显示在页面上)，再考虑是否存在二次注入。如果没有，则不存在二次注入。

万能密码

如果存在万能密码，格式为：admin ' or 1=1 # 或者 admin ' and 1=1 #

万能密码原理

在后端代码中，登陆的语句为：

"SELECT * FROM users WHERE username='$username' and password='$password' ";

当我们在输入框中输入 admin ’ and 1=1 # 时，后端代码则会变成：

"SELECT * FROM users WHERE username='admin' and 1=1 #' and password='$password' ";

#后的代码都被注释掉，于是语句变成

 "SELECT * FROM users WHERE username='admin' and 1=1 ";