登录页面的SQL注入漏洞

最新推荐文章于 2024-06-28 11:20:27 发布
最新推荐文章于 2024-06-28 11:20:27 发布
阅读量3.8k 收藏 9
点赞数 2
文章标签: sql css css3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61974571/article/details/127278294
版权

一、环境准备

1、在Linux准备一套Xampp或者Phpstudy:模拟攻防

2、在vscode安装Rremote Development插件,进行远程调试

新添加主机

ssh root@192.168.74.132

编辑ssh的配置文件的路径

在opt/lampp/security创建项目

三个页面
login.html
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title></title>
        <link rel="stylesheet" href="style.css">
        <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.min.js" charset="utf-8"></script>
        <style>
            *{
    margin: 0;
    padding: 0;
    text-decoration: none;
    font-family: montserrat;
    box-sizing: border-box;
}

body{
    min-height: 100vh;
    background-image: linear-gradient(120deg, #3498db, #8e44ad);
}

.login-form{
    width: 360px;
    background: #f1f1f1;
    height: 580px;
    padding: 80px 40px;
    border-radius: 10px;
    position: absolute;
    left: 50%;
    top: 50%;
    transform: translate(-50%, -50%);
}

.login-form h1{
    text-align: center;
    margin-bottom: 60px;
}

.txtb{
    border-bottom: 2px solid #adadad;
    position: relative;
    margin: 30px 0;
}

.txtb input{
    font-size: 15px;
    color: #333;
    border: none;
    width: 100%;
    outline: none;
    background: none;
    padding: 0 5px;
    height: 40px;
}

.txtb span::before{
    content: attr(data-placeholder);
    position: absolute;
    top: 50%;
    left: 5px;
    color: #adadad;
    transform: translateY(-50%);
    z-index: -1;
    transition: .5s;
}

.txtb span::after{
    content: '';
    position: absolute;
    left: 0%;
    top: 100%;
    width: 0%;
    height: 2px;
    background: linear-gradient(120deg, #3498db, #8e44ad);
    transition: .5s;
}

.focus + span::before{
    top: -5px;
}

.focus + span::after{
    width: 100%;
}

.logbtn{
    display: block;
    width: 100%;
    height: 50px;
    border: none;
    background: linear-gradient(120deg, #3498db, #8e44ad, #3498db);
    background-size: 200%;
    color: #fff;
    outline: none;
    cursor: pointer;
    transition: .5s;
}

.logbtn:hover{
    background-position: right;
}

.bottom-text{
    margin-top: 60px;
    text-align: center;
    font-size: 13px;
}

        </style>
    </head>
    <body>

        <form action="./login.php" class="login-form" method="post">
            <h1>欢迎登陆</h1>

            <div class="txtb">
                用户名:<input type="text" name="username">
                <span ></span>
            </div>

            <div class="txtb">
                密码:&nbsp;&nbsp;<input type="password" name="password">
                <span ></span>
            </div>

            <div class="txtb">
                验证码:<input type="text" name="vcode">
                <span ></span>
            </div>

            <input type="submit" class="logbtn" value="bt"  name="bt">

            
        </form>

        <script type="text/javascript">
            $(".txtb input").on("focus", function(){
                $(this).addClass("focus");
            });

            $(".txtb input").on("blur", function(){
                if($(this).val() == "")
                $(this).removeClass("focus");
            });
        </script>

    </body>
</html>
login.php
<?php
if(!empty($_POST['bt'])){
    //获取用户提交的登陆信息
    $username = $_POST["username"];
    $password = $_POST["password"];
    $vcode = $_POST["vcode"];
    //万能验证码,存在安全漏洞,owasp-认证和授权失败
    if ($vcode !== "0000"){
        die("vcode-error");
    }
    $conn = new mysqli("127.0.0.1","root","","learn") or die("数据库连接不成功");
    $conn -> query("set names utf8");
    $conn -> set_charset("utf8");
    $sql = "SELECT * FROM user where username ='$username' and password = '$password'";
    $result = $conn -> query($sql);
    //存在注入漏洞
    if($result->num_rows == 1){
        echo "login-pass";
        echo "<script>location.href='./welcome.php'</script>";
    }
    else{
        echo "login-fail";
        echo "<script>location.href='./login.html'</script>";
    }
    
    # 关闭数据库
    $conn -> close(); 
}
welcome.php
<?php
// 以下代码违背了owasp 失效访问控制
    echo "欢迎登陆到安全测试平台";

二、进行登陆的渗透测试

在登陆页面输入一个单引号[']作为用户名,密码任意,验证码0000,响应如下
---------------------------------------------------------------------------------------------------
<br />
<b>Notice</b>:  Trying to get property of non-object in <b>/opt/lampp/htdocs/security/login.php</b> on line <b>17</b><br />
login-fail<script>location.href='./login.html'</script>
----------------------------------------------------------------------------------------------------

以上信息出现MySQL的报错信息,上述报错信息存在两个可能漏洞
1、单一很高可以成功引起sql语句报错,说名后台没有对单引号进行处理
SELECT * FROM user where username ='$username' and password = '$password'
正常情况:SELECT * FROM user where username ='zhangsan' and password = 'zhangsan123'
攻击情况:SELECT * FROM user where username =''' and password = '123456'
username : x' or id =1#'
post正文:username=1' or 1=1 #'&password=111&vcode=0000&bt=bt

2、在报错语句中出现了敏感信息:
/opt/lampp/htdocs/security/login.php ,当前代码的绝对路径
注入类攻击的核心点:

(1)、拼接为有效的代码或语句

(2)、确保完成了闭合,并且可以改变原有执行逻辑

通常并非处理一下就可以完成拼接和闭合,需要不停的尝试,知道出现不一样的结果。这个尝试过程建议使用python+字典快速处理

上述代码一共存在6个漏洞

1、welcome.php页面谁都可以访问,没有进行登陆判断(中)
2、在登陆也买你输入 ' 作为用户名报错信息存在login.php的绝对路径,暴露了系统后台的敏感信息(低)
3、保存用户信息的数据表中,密码是明文保存,不够安全(中)
4、登陆页面可以进行SQL注入,进而轻易实现登陆(高)
5、login.php页面中使用了万能验证码(中)
6、登陆功能可以被爆破,没有进行爆破防护(中)

三、漏洞修复

一、使用python进行fuzz测试
# 利用python对php的登陆页面进行fuzz测试
import requests


def login_fuzz():
    url = "http://192.168.74.132/security/login.php"
    data = {"username": f"'", "password": f"{1}", "vcode": "0000", "bt": "bt"}
    resp = requests.post(url, data)
    if "Notice" or "error" or "Warning" in resp.text:
        print("本登陆功能可能存在sql注入漏洞,可以试一试")
        # 如果单引号存在嫌疑则继续利用
        with open("../dict/sql.txt", "r", encoding="utf8") as file:
            # 获取字典列表
            payload_list = file.readlines()
            file.close()
            for payload in payload_list:
                payload = payload.replace("\n","")
                resp = requests.post(url, {"username": f"{payload}", "password": f"12312", "vcode": "0000", "bt": "bt"})
                if "login-fail" not in resp.text:
                    print(f"测试payload成功:{payload}")
    else:
        print("通过测试,发现后台页面对单引号不敏感")


if __name__ == '__main__':
    login_fuzz()
二、任意访问授权
//1、在comm.php中启用session
    
session_start();

//2、welcome.php导入
    
if( empty($_SESSION['islogin']) or $_SESSION["islogin"] != 'true'){
    die("你还没有登陆,请先登陆"."<br>");
}
    echo "欢迎登陆到安全测试平台"."<br>";

//3、在login.php中设置session
    
    if($result->num_rows == 1){
        echo "login-pass";
        # 登陆成功后,记录session变量
        $_SESSION['username'] = $username;
        $_SESSION['islogin'] = 'true';
        echo "<script>location.href='./welcome.php'</script>";
    }
三、敏感信息暴露
//1、在login.php中如果sql语句执行失败

$sql = "SELECT * FROM user where username ='$username' and password = '$password'";
    $result = $conn -> query($sql) or die("SQL语句执行失败");
四、数据库用户密码是明文存储
//1、注册时应该设置为md5,使用php内置的md5函数
//2、将数据库密码字段长度设置为32位及以上
$result = md5("password");
echo $result;

SQL注入的防御

登陆漏洞:登陆页面可以进行SQL注入,进而轻易实现登陆(高)

1、从代码和SQL语句的逻辑层面进行考虑,不能让密码对比失效

2、基于将用户输入的引号(单引号和双引号)继续转义处理的前提,可以使用PHP内置函数addslashes进行强制转义

3、另外一种方法:使用mysqli预处理的功能,也可以进行防御

一、登陆SQL语句的逻辑问题
// sql存在逻辑问题,用户名和密码不应该放在同一条sql中
    //应该先通过查询user表,找到一条记录(用户名唯一),再进行密码的单独对比
    // $sql = "SELECT * FROM user where username ='$username' and password = '$password'";
    $sql = "SELECT * FROM user where username ='$username'";
    $result = $conn -> query($sql) or die("SQL语句执行失败");
// 如果用户名真实存在,刚好找到一条,则单独再继续密码的比,即使出现SQL注入漏洞,但是只要密码正确,也无法登录 
    if($result->num_rows == 1){
        $row = $result->fetch_assoc();
            if($password == $row['password']){
                echo "login-pass";
                # 登陆成功后,记录session变量
                $_SESSION['username'] = $username;
                $_SESSION['islogin'] = 'true';
                echo "<script>location.href='./welcome.php'</script>";
            }
            else{
                // echo "pass-error"; // 不建议直接明确告诉用户,是密码还是用户名错误
                echo "login-fail";
                echo "<script>location.href='./login.html'</script>";
            }
    }
    else{
        echo "login-fail";
        echo "<script>location.href='./login.html'</script>";
    }
二、使用addslashes函数

可以将字符串的单引号双引号,反斜杠,NULL值自动添加转义符,从而方式SQL注入中对单引号和双引号的预防

原始SQL语句如下:
$sql = "SELECT * FROM user where username ='$username'" and 'password' =$password;
如果用户输入 1' or 1=1 #',则SQL语句变成:
$sql = "SELECT * FROM user where username ='1' or 1=1 #''" and 'password' =$password;
如果使用addslashes函数,则变成
$sql = "SELECT * FROM user where username ='1\' or 1=1 #\''" and 'password' =$password;
逻辑上保持不变

$username = addslashes($_POST["username"]);
三、Mysqli面向对象的预处理

预处理的过程:先交给MYSQL数据库进行SQL语句的准备,准备好后再将SQL语句中的参数进行值的替换,引号会进行转义处理,将所有参数变成普通字符串,再进行第二次的正式的SQL语句执行。MYSQLi的预处理既支持面向对象,也支持面向过程

//mysqli预处理
function mysqli_prepare_oop(){
    $conn = new mysqli("127.0.0.1","root","","learn") or die("数据库连接不成功");
    $conn -> set_charset("utf8");
    // ?在预处理语句中表示参数
    $sql = "select * from user where id = ?";   
    // 实例化预处理对象
    $stmt = $conn ->prepare($sql);
    //实例化后需要将参数进行绑定,并在执行时进行替换,bind_param第一个参数位数据类型:i整数,s字符串,d小数,b二进制
    $stmt -> bind_param("i", $userid);
    $userid = 1;
    //正式执行sql语句,如果是更新类的操作,update,delete,insert,执行后不做其他操作没问题
    // $stmt->execute();   //execute方法返回不二类型,返回执行成功还是失败

    //如果针对 查询语句,单纯只是执行无法取得查询结果的,需要进行结果绑定
    $stmt->bind_result($id,$username,$password);
    $stmt->execute();
    // 调用结果并进行处理
    $stmt ->store_result();
    // 输出行数
    echo $stmt->num_rows()."<br>";
    //遍历结果
    while ($stmt->fetch()){
        echo $userid."&nbsp;&nbsp;&nbsp;".$username."&nbsp;&nbsp;&nbsp;".$password."<br>";
    }
}

2、使用预处理防止SQL注入

$sql = "SELECT * FROM user where username =?";
    // $result = $conn -> query($sql) or die("SQL语句执行失败");
    $stmt = $conn->prepare($sql);
    $stmt->bind_param('i',$username);  //绑定查询参数
    $stmt->bind_result($id,$username2,$password2);  //绑定结果参数
    $stmt->execute();
    $stmt->store_result();

    if($stmt->num_rows() == 1){
        $row = $stmt->fetch();
            if($password == $password2){
                echo "login-pass";
                # 登陆成功后,记录session变量
                $_SESSION['username'] = $username;
                $_SESSION['islogin'] = 'true';
                echo "<script>location.href='./welcome.php'</script>";
            }
            else{
                // echo "pass-error"; // 不建议直接明确告诉用户,是密码还是用户名错误
                echo "login-fail";
                echo "<script>location.href='./login.html'</script>";
            }
    }
    else{
        echo "login-fail";
        echo "<script>location.href='./login.html'</script>";
    }
Lyle小白
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL 注入漏洞
weixin_52345129的博客
01-15 499
SQL 注入漏洞,就是通过把 SQL 命令插入到URL地址、Web 表单提交或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的 SQL 命令。漏洞成因是程序没有对用户输入的内容进行安全检查,直接代入数据库进行查询,导致了 SQL 注入的发生。目前常见的 SQL 注入的攻击方式有报错注入、普通注入、隐式类型注入、盲注、宽字节注入、二次解码注入。
利用SQL注入漏洞登录后台的实现方法
12-15
当攻击者成功利用SQL注入漏洞,他们可以构造恶意的SQL语句,以操纵数据库查询,获取敏感信息,甚至完全控制服务器。以下是对SQL注入的详细解释及其在登录后台中的实施方法。 1. **SQL注入的基本原理**: SQL注入的...
综合案例(账号密码登录SQL注入
IT深耕十余载,大道之简
05-02 1095
在后台,我们使用SQL查询语句来验证用户输入的用户名和密码是否与数据库中存储的相匹配。然而,如果我们在编写上述SQL查询语句时没有对用户输入进行适当的过滤或转义,就可能会面临SQL注入的风险。攻击者可以在用户名或密码的输入中输入一些特殊字符,从而改变SQL查询语句的语义,达到绕过登录验证或窃取数据的目的。当用户输入用户名和密码后,后台会执行一条SQL查询语句来验证输入的用户名和密码是否与数据库中存储的相匹配。始终为真,所以这个查询语句会返回数据库中所有的用户数据,从而绕过了登录验证。
SQL注入原理讲解
幻染雨停轻的博客
09-16 2万+
本文转自http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。      网络安全成为了现在互联网的焦...
利用SQL注入漏洞登录后台_
最新发布
2401_84215240的博客
06-28 686
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到.sql注入
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
利用SQL注入漏洞登录后台
白帽黑客鹏哥的博客
05-07 1438
日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,由于设计的漏洞导致了不可收拾的恶果,验证了一句话“出来混的,迟早是要还的”,所以我想通过专题博文介绍一些常用的攻击技术和防范策略。
sql注入漏洞和实验
2303_81447649的博客
02-29 1188
发现不管输入什么都不管用了这个时候布尔盲注就不适合我们了,布尔盲注对于页面的正确和错误有不同的回显,如果页面一直没有变化我们就可以用时间盲注其实时间盲注和布尔盲注没有多大的差别,时间盲注多了if和sleep()函数。在将数据存入到了数据库中之后,开发者就认为数据是可信的,在下一次需要进行查询的时候,直接从数据库中取出了恶意数据,没有进行进一步的检验和处理,就会造成二次注入。SQL注入攻击的本质,服务器没有过滤用户输入的恶意数据,直接把用户输入的数据当做SQL语句执行,从而影响数据库安全和平台安全。
SQL注入漏洞检测
Kali与编程
12-10 1246
SQL注入漏洞是一种常见的安全漏洞,渗透测试工程师需要掌握SQL注入漏洞的检测技术,以便在测试中及时发现和利用漏洞。常见的注入点包括GET参数、POST参数、Cookie、HTTP头部信息和用户名密码等,常见的注入方式包括基于错误的注入、基于联合查询的注入、基于布尔盲注的注入、基于时间盲注的注入和基于报错盲注的注入等。本文将从渗透测试工程师的角度,详细介绍SQL注入漏洞的检测基础,包括常见的注入点、注入方式、手工注入和自动化注入等。常见的SQL注入技术包括基于错误的注入、基于时间的注入、联合查询注入等。
SQL注入漏洞详解
sev1n的博客
04-10 1287
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度、业务参数合法性等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,超出了SQL语句原来设计的预期结果,导致了SQL注入漏洞。特殊字符过滤:比如',",\,,&,*,;,#,select,from,where,sub,if,union,sleep,and,or等;判断是否存在注入,若存在,则判断是字符型还是数字型,简单来说就是数字型不需要符号包裹,而字符型需要。
SQL注入漏洞全接触.ppt
11-15
* 由于SQL注入漏洞可以从正常的WWW端口访问,表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报。 三、 SQL注入漏洞的类型 * 根据不同的数据库管理系统, SQL注入漏洞可以...
SQL注入漏洞演示源代码
09-13
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到Web应用程序的安全性。这个压缩包中的"SQL注入漏洞演示源代码"提供了一个实例,用于帮助理解这种漏洞的工作原理和防范措施。在这个源代码中,开发者可能模拟了...
YXcms-含有SQL注入漏洞的源码包.zip
03-17
【标题】"YXcms-含有SQL注入漏洞的源码包.zip" 提供了一个关键的安全问题,即SQL注入漏洞,这是许多网站和应用程序面临的一种常见威胁。SQL注入是指攻击者通过在输入字段中插入恶意SQL代码,以获取、修改、删除...
自己动手编写SQL注入漏洞扫描工具
03-25
本篇将探讨如何自己动手编写一个SQL注入漏洞扫描工具,通过分析提供的程序代码,我们可以了解基本的检测原理和技术。 首先,我们需要理解SQL注入的基本概念。当用户提交的数据被直接拼接到SQL查询中,而没有进行...
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008是一款流行的开源内容管理系统,然而,如标题所示,它存在一个广告模板SQL注入漏洞,这个问题在2008年的版本中尤为突出。SQL注入是一种常见的网络安全威胁,允许攻击者通过操纵输入数据来执行恶意SQL命令...
php中sql注入漏洞示例 sql注入漏洞修复
12-18
3. **修复SQL注入漏洞**: - **预编译语句与参数绑定**:使用PDO(PHP Data Objects)或MySQLi的预编译语句,可以防止SQL注入。例如,使用PDO的预编译语句: ```php $stmt = $pdo->prepare("SELECT * FROM users ...
SQL注入漏洞全接触
03-03
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 但是,SQL注入
SQL注入漏洞详解与防范
"SQL注入漏洞全接触" SQL注入是一种常见的网络安全问题,主要发生在基于Web的应用程序中,当应用程序没有正确地过滤或验证用户输入的数据时,攻击者可以通过输入恶意的SQL代码来操纵数据库。这种漏洞允许攻击者绕过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值