SQL注入-代码审计

最新推荐文章于 2024-09-04 13:58:18 发布
最新推荐文章于 2024-09-04 13:58:18 发布
阅读量865 收藏 8
点赞数 13
文章标签: sql 数据库 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62373986/article/details/141751258
版权

记录SQL靶场的代码审计学习。

sqli-Less-1

原代码:

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables 
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

漏洞点在于:
(1)参数的输入

if(isset( $_GET[‘id’]))
{
$id= $_GET[‘id’];

(2)使用拼接来进行SQL语句查询

$ sql=“SELECT * FROM users WHERE id=’ $id’ LIMIT 0,1”;

(3)明文密码的直接输出

if( $row){
echo “< font size=‘5’ color= ‘#99FF00’>”;
echo ‘Your Login name:’. $ row[‘username’];
echo “< br>”;
echo ‘Your Password:’ .$row[‘password’];
echo “< /font>”;
}

SQL注入存在的原因是对用户输入的$id没有进行任何过滤,在进行SQL语句查询的时候,也是直接进行字符串的拼接。

防御,参数化查询:

①
$stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
②
$stmt = $mysqli->prepare('SELECT * FROM users WHERE id = ?');

sqlib-Less-2

与第一关类似:

$ sql=“SELECT * FROM users WHERE id=$id LIMIT 0,1”;

看SQL查询语句,参数id的值为数字型。

sqlib-Less-3

$ sql=“SELECT * FROM users WHERE id=(‘$id’) LIMIT 0,1”;

与上一关的区别,参数闭合方式

sqlib-Less-4

$ sql=“SELECT * FROM users WHERE id=($id) LIMIT 0,1”;

与上一关的区别,参数闭合方式

sqlib-Less-5

原代码:

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	
	echo '<font size="3" color="#FFFF00">';
	print_r(mysql_error());
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

漏洞点:

print_r(mysql_error());

相比上面的几关,第五关没有进行明文密码的输出,但存在一个报错回显的函数。

sqlib-Less-6

print_r(mysql_error());

与上一关的区别,参数闭合方式不同

sqlib-Less-7

原代码:

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#FFFF00">';	
  	echo 'You are in.... Use outfile......';
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	echo 'You have an error in your SQL syntax';
	//print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

漏洞成因:

if($row)
	{echo 'You are in.... Use outfile......';}
	else 
	{echo 'You have an error in your SQL syntax';}

虽然还是直接拼接的SQL参数查询,但代码中没有涉及报错信息的回显,也没有将密码以明文形式输出,但在代码中存在一个if语句,如果输入的内容不正确,会出现错误提示:‘You have an error in your SQL syntax’。据此可以进行布尔盲注。

sqlib-Less-8

echo ‘You are in… Use outfile…’;

同上一关,参数闭合方式不同

sqlib-Less-9

if($row)
{echo ‘You are in… Use outfile…’;}
else
{echo ‘You are in… Use outfile…’;}

页面没有错误回显,也不存在页面变化,但参数的输入因为没有进行过滤(直接拼接到SQL查询语句),可以利用时间盲注。

sqlib-Less-10

与上一关的区别,参数闭合方式

sqlib-Less-11

原代码:

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
	$uname=$_POST['uname'];
	$passwd=$_POST['passwd'];

	//logging the connection parameters to a file for analysis.
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Name:'.$uname);
	fwrite($fp,'Password:'.$passwd."\n");
	fclose($fp);


	// connectivity 
	@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
	$result=mysql_query($sql);
	$row = mysql_fetch_array($result);

	if($row)
	{
  		//echo '<font color= "#0000ff">';	
  		
  		echo "<br>";
		echo '<font color= "#FFFF00" font size = 4>';
		//echo " You Have successfully logged in\n\n " ;
		echo '<font size="3" color="#0000ff">';	
		echo "<br>";
		echo 'Your Login name:'. $row['username'];
		echo "<br>";
		echo 'Your Password:' .$row['password'];
		echo "<br>";
		echo "</font>";
		echo "<br>";
		echo "<br>";
		echo '<img src="../images/flag.jpg"  />';	
		
  		echo "</font>";
  	}
	else  
	{
		echo '<font color= "#0000ff" font size="3">';
		//echo "Try again looser";
		print_r(mysql_error());
		echo "</br>";
		echo "</br>";
		echo "</br>";
		echo '<img src="../images/slap.jpg" />';	
		echo "</font>";  
	}
}
?>

漏洞点:

@ $ sql=“SELECT username, password FROM users WHERE username=’ $uname’ and password=’ $passwd’ LIMIT 0,1”;

参数没有过滤,密码明文输出,SQL参数直接拼接查询,POST传参,闭合后直接进行显注。

sqlib-Less-12

与上一关的区别,参数闭合方式不同

sqlib-Less-13

if($row)
{…}
else
{print_r(mysql_error());}

数据库获取的内容无法直接显示,但代码存在有报错信息回显的函数,报错注入。

sqlib-Less-14

与上一关的区别,参数闭合方式不同

sqlib-Less-15


if($row)
	{
  		echo "<br>";
		echo '<font color= "#FFFF00" font size = 4>';
		echo '<font size="3" color="#0000ff">';	
  	}
	else  
	{
		echo '<font color= "#0000ff" font size="3">';
		//print_r(mysql_error());
	}
}

报错函数被注释,但登录失败与成功的页面回显不同,使用布尔盲注。

sqlib-Less-16

与上一关的区别,参数闭合方法不同

sqlib-Less-17

原代码:

if(isset($_POST['uname']) && isset($_POST['passwd']))

{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);  
$passwd=$_POST['passwd'];

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);

// connectivity 
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
	{
  		//echo '<font color= "#0000ff">';	
		$row1 = $row['username'];  	
		//echo 'Your Login name:'. $row1;
		$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
		mysql_query($update);
  		echo "<br>";
		if (mysql_error())
		{
			echo '<font color= "#FFFF00" font size = 3 >';
			print_r(mysql_error());
			echo "</br></br>";
			echo "</font>";
		}
		else
		{...}
	...
  	}
	else  
	{...}
}

?>

输入的参数没有做过滤,参数直接拼接到SQL查询语句,有报错信息的回显,使用报错注入。

sqlib-Less-18

原代码:

$uagent = $_SERVER['HTTP_USER_AGENT'];
	$IP = $_SERVER['REMOTE_ADDR'];
	echo "<br>";
	echo 'Your IP ADDRESS is: ' .$IP;
	echo "<br>";
if(isset($_POST['uname']) && isset($_POST['passwd']))
	{
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);
	
	//logging the connection parameters to a file for analysis.	
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Agent:'.$uname."\n");
	
	fclose($fp);
	$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
			mysql_query($insert);	
			echo 'Your User Agent is: ' .$uagent;
			print_r(mysql_error());			
			}
		else
			{print_r(mysql_error());}
	}
?>

对于用户名和密码的输入做了验证,不存在注入点

$ uname = check_input( $_POST[‘uname’]);
$ passwd = check_input($_POST[‘passwd’]);

漏洞成因:
(1)参数uagent的的输入没有做过滤

    $uagent = $_SERVER['HTTP_USER_AGENT'];
	$IP = $_SERVER['REMOTE_ADDR'];
	echo 'Your IP ADDRESS is: ' .$IP;

(2)SQL插入语句直接拼接

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";

#只有当用户名和密码输入都正确时,才会将ip和uagent的值插入到数据库中
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

mysql_query($insert);
echo 'Your User Agent is: ' .$uagent;

(3)报错信息回显函数

print_r(mysql_error()

存在报错注入,但注入点在uagent

sqlib-Less-19

$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";
mysql_query($insert);
echo 'Your Referer is: ' .$uagent;

和上一关的区别在于,页面显示的数据来自referer字段,注入点也在referer位置。

sqlib-Less-20

#对cookie的值没有做过滤
if(!isset($_COOKIE['uname']))

#用户名和密码还是做了过滤
if(isset($_POST['uname']) && isset($_POST['passwd']))
		{
		$uname = check_input($_POST['uname']);
		$passwd = check_input($_POST['passwd']);
		}
		
#发现SQL查询语句中,直接拼接的cookie参数
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";

在cookie处存在报错注入

sqlib-Less-21

if(!isset($_COOKIE['uname']))

$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";

#本来以为只是闭合方式不同,后面抓完包,发现还多了个base64的加密
setcookie('uname', base64_encode($row1['username']), time()-3600);

#又去看了19关的代码,发现cookie没有经过加密
setcookie('uname', $row1['username'], time()-3600);

和上一关的区别,闭合方式不同,使用了base64加密

sqlib-Less-22

if(!isset($_COOKIE['uname']))

$cookee = base64_decode($cookee);
			$cookee1 = '"'. $cookee. '"';
			echo "<br></font>";
			$sql="SELECT * FROM users WHERE username=$cookee1 LIMIT 0,1";

与上一关的区别,闭合方式不同。

sqlib-Less-23

if(isset($_GET['id']))
{
$id=$_GET['id'];

$reg = "/#/";
$reg1 = "/--/";
$replace = "";
}
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

对参数id的输入内容做了过滤,将以下三种字符做了过滤:
.#
–+
空格

相当于把闭合符给过滤掉了,需要绕过。

将最后一个字段作为输入闭合
or关键词绕过
(详细绕过姿势,见上篇博客)

sqlib-Less-24

 $username = mysql_real_escape_string($_POST["login_user"]);
 $password = mysql_real_escape_string($_POST["login_password"]);
 $sql = "SELECT * FROM users WHERE username='$username' and password='$password'";

方法1:
mysql_real_escape_string()函数对特殊字符做了转义,这里可以用宽字节注入%df
方法2:
在密码修改处,没有对username的输入进行转义,可进行二次注入

$username= $_SESSION["username"];

sqlib-Less-25

#黑名单防御
$id= blacklist($id);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
#and和or字段被过滤
function blacklist($id)
{
	$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
	$id= preg_replace('/AND/i',"", $id);		//Strip out AND (non case sensitive)
	return $id;
}

绕过:大小写、双写,&&和||

0~15关代码审计,详细见大佬文章:
sql注入——php源码的审计(以sql-lab 1~15为例)(超详细)
后续待更新……

简月
关注
  • 13
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
视频教程-JAVA代码审计SQL注入-代码审计
weixin_32937163的博客
05-28 214
JAVA代码审计SQL注入 曾在启明星辰、绿盟科技等大型企业安全公司就职,...
sql注入php代码审计1
m0_55772907的博客
04-30 516
(1)注入原理 通过利用一些查询语句的漏洞,将sql语句传递到服务器解析并执行。它是一种注入攻击,可以执行恶意的sql语句。它通过将任意sql代码插入数据库查询,使攻击者能够完全控制web应用程序后面的数据库服务器。攻击者可以使用sql注入漏洞绕过应用程序的安全措施,可以绕过网页或web 应用程序的身份验证和授权,并检索整个sql数据库的内容,还可以使用sql注入来添加,修改和删除数据库中的记录。 (2)分类 1)联合查询 使用$_REQUEST直接接收id参数,且没有进行过滤,且可以接收coo
sql注入--php代码审计(适合小白)
2401_83176532的博客
07-10 894
发现没有回显位,因此无法进行union联合注入,无法进行报错注入因为mysqli_fetch_array()只能接收数组,其他的类型的会有报错。最后得到8个字段名分别是id,name,username,password,gender,phone,imageAddress,isadmin。我们后端并没有对前端传过来的参数进行验证,所以导致了恶意sql代码的执行,所以可以通过对例如单引号。通过布尔盲注,在登录框中输入如下信息来获取test数据库中表的信息。使用yakit对表名的每个字母进行ascii码爆破。
PHP-代码审计-SQL注入
weixin_44110913的博客
08-26 593
代码审计 白盒测试 搭建成功后 用WEB漏洞扫描工具 利用网站的源码进行代码审计 准备工作 漏洞参数条件:函数 可控变量 列如sql注入 函数关键字:mysql_connect mysql_select_db mysql_query 等 可控变量关键字:$_GET $_POST $_REQUEST $_SERVER等 定点漏洞挖掘 分析漏洞产生条件 得到漏洞关键字 利用工具查找关键字 分析文件名进行判断筛选 对文件进行代码分析 跟踪变量 确定是否存在该漏洞 正常定点挖掘 数据库监控工具挖掘
DVWA代码审计--SQL注入
余十步的博客
05-18 1240
此时如果比较操作符被过滤,上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了,需要注意的是分隔符不能为null,如果为null,则返回结果为null。通常含有这些函数substr(),mid(),limit(),的这些子句方法都需要使用到逗号,语法:concat_ws(separator, str1, str2, …使用greatest()、least():(前者返回最大值,后者返回最小值)同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找,
代码审计——SQL注入详解
Boom!脑洞大爆炸的博客
06-17 854
代码审计SQL注入详解
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1467
JAVA代码审计篇-SQL注入
代码审计-Java项目审计-SQL注入漏洞
Hacker_doggy的博客
07-18 999
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本:可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划:审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。代码审计两种方法:功能点或关键字分析可能存在的漏洞。
PHP代码审计-sql注入
博客地址 www.sec0nd.top
10-24 1441
最近想学代码审计了,但是我本身的代码水平不高,学的比较基础,适合入门级别的朋友们阅读先学php的审计,后面再学java的吧(java只懂一点点)就不太多的赘述漏洞和代码的基础了,遇到不会的搜索其他人的文章就可以学会的入门我是看的代码审计相关的一些知识后面实战的代码也在这里可以下载的。
SQL注入-概述-ppt.pptx
10-27
SQL注入是一种常见的网络安全威胁,主要针对使用SQL(结构化查询语言)进行数据存储和检索的Web应用程序。这种攻击方式利用了程序设计中的漏洞,使得恶意用户能够通过输入特定的SQL代码,来操纵数据库,获取未经授权...
JAVA代码审计SQL注入
06-14
本章节课程主要从以下三...2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全数据库查询语句。 3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全数据库查询语句。
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意文件删除+RCE+任意文件上传+SQL注入)1
08-03
这些问题都是在代码审计过程中发现的,揭示了软件在安全性上的严重缺陷。 首先,任意文件删除的漏洞意味着攻击者可以通过特定的输入或命令删除系统中的任何文件,这可能导致数据丢失、系统崩溃或者恶意代码的植入。...
Python知识点:如何使用SQLAlchemy进行ORM(对象关系映射)
码农超哥的博客
08-31 778
定义数据库表的ORM模型。每个模型类都需要继承自Base,并且通常以类的属性形式定义表的列。
sql-labs51-55通关攻略
m0_75036923的博客
08-30 1041
1'and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() ),0x7e),1) --+' and updatexml(1,concat(0x7e,(select group_concat(column
被低估的SQL
weixin_61431494的博客
09-03 763
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并处理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
【MySQL】索引使用规则——(覆盖索引,单列索引,联合索引,前缀索引,SQL提示,数据分布影响,查询失效情况)
YYDsis的博客
08-31 1368
一.索引使用规则 ※.验证索引效率提升 1.覆盖索引——查询使用了索引,并且需要返回的列,在该索引中已经全部能够找到2.单列索引&联合索引3.前缀索引——解决冗长字符串与索引问题【1】前缀索引&索引选择性的介绍【2】前缀索引创建演示:5.SQL提示——指定某个索引/忽略索引/强制索引 6.数据分布影响——MySQL自我评估7.查询失效的几种情况【1】违背——最左前缀法则(联合索引)【2】范围查询右侧失效【3】用or分割开的条件,or后面没索引,所有索引失效【4】索引列上进行运算操作,索引
SQL Server数据库日志占满硬盘 运行不了了怎么办
最新发布
一只没有感情的AI机械猿
09-04 154
如果不需要完整恢复模式,可以将数据库恢复模式改为简单恢复模式(Simple Recovery Model),这样会自动截断日志,减少日志文件的增长。- 如果数据库运行在完整恢复模式下(Full Recovery Model),你应该先进行事务日志备份。这样可以截断日志并释放空间。- 检查数据库和应用程序是否存在大量事务未提交或长时间运行的事务,这些都可能导致日志文件急剧增长。- 定期备份事务日志并收缩日志文件,防止日志文件再次占满磁盘空间。- 备份完成后,日志会自动截断,释放一些空间。
【解决】sql中包含问号(?),导致mybatis解析错误
奔跑的菜鸟的Run博客
08-30 412
被替换了 而不是 我们参数 ,参数的位置还是空的。下面给出两种我测试都可以的方案,但是个人比较推荐第二种方案。这个sql在我们的sql连接器中执行是完全没问题的,但是在mybatis中使用这个sql的时候。也就是在问号的前面多加一个问号,这样就能解决了。会被mybatis当作占位符 替换成参数。给解析成变量 导致sql查询失败。解析参数会把 sql语句中的。sql语句中本身包含。使用pg数据库内置函数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值