SQL注入 Less24(二次注入)

最新推荐文章于 2024-07-25 16:56:42 发布
最新推荐文章于 2024-07-25 16:56:42 发布
阅读量814 收藏
点赞数
分类专栏: Web安全 SQL注入 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55675216/article/details/125963836
版权
本文详细讲解了存储型二次注入的原理,通过实例演示如何利用未转义的用户输入在PHP环境中触发漏洞,包括数据原封存储、数据库查询时不校验的环节。重点介绍了如何通过验证、转义策略的不足导致攻击成功,并给出了修复建议。
摘要由CSDN通过智能技术生成

二次注入原理

二次注入(存储型注入),这种手法所利用的原理是:在网站处理用户提交的数据的时候,只是将某些敏感字符进行了转义。因而使得用户第一次提交的时候不会被当做代码执行。但是这些数据存入数据库的时候却没有转义(比如用户输入的数据为admin'#,进行执行代码的时候会转义为admin\'#,存入数据库的数据仍为admin'#),而网站程序默认数据库中的数据都是安全的,当网站程序第二次调用刚才存储的脏数据的时候,则不会转义使用而是直接使用,因此就会达到注入的效果。

注意两点:
1、网站会将数据原封不动的存入数据库中。
2、网站会直接调用数据库中的数据而不会对其进行检测等操作。(信任数据库中的数据)

第一次进行数据库插入数据的时候,使用了 addslashes 、get_magic_quotes_gpc、mysql_escape_string、mysql_real_escape_string等函数对其中的特殊字符进行了转义,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,在写入数据库的时候还是保留了原来的数据。在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。

  • 第一步:插入恶意数据
    进行数据库插入数据时,对其中的特殊字符进行了转义处理,在写入数据库的时候又保留了原来的数据。
  • 第二步:引用恶意数据
    开发者默认存入数据库的数据都是安全的,在进行查询时,直接从数据库中取出恶意数据,没有进行进一步的检验的处理。并不会进行转义操作,而是直接拼接到SQL语句中执行。

Less24黑盒

在这里插入图片描述
一个用户登录界面,可以注册新用户和登录。

我们登录一个Dumb:Dumb看一下
在这里插入图片描述
可以更改密码

我们看一下我们当前的users表
在这里插入图片描述
我们注册一个新用户admin'#,密码为123456
在这里插入图片描述
admin'#是直接原数据存入了数据库

我们登录admin'#用户,进行修改密码
在这里插入图片描述
将密码修改为nihao
在这里插入图片描述
但发现admin用户的密码变为了nihao

然后我们就获得了admin:nihao,可以登录这个账户了。这就是我们的目的

Less24白盒

注册用户

<?php

//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");



if (isset($_POST['submit']))
{
	

# Validating the user input........

	//$username=  $_POST['username'] ;
	$username=  mysql_escape_string($_POST['username']) ;
	$pass= mysql_escape_string($_POST['password']);
	$re_pass= mysql_escape_string($_POST['re_password']);
	
	echo "<font size='3' color='#FFFF00'>";
	$sql = "select count(*) from users where username='$username'";
	$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
  	$row = mysql_fetch_row($res);
	
	//print_r($row);
	if (!$row[0]== 0) 
		{
		?>
		<script>alert("The username Already exists, Please choose a different username ")</script>;
		<?php
		header('refresh:1, url=new_user.php');
   		} 
		else 
		{
       		if ($pass==$re_pass)
			{
				# Building up the query........
   				
   				$sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";
   				mysql_query($sql) or die('Error Creating your user account,  : '.mysql_error());
					echo "</br>";
					echo "<center><img src=../images/Less-24-user-created.jpg><font size='3' color='#FFFF00'>";   				
					//echo "<h1>User Created Successfully</h1>";
					echo "</br>";
					echo "</br>";
					echo "</br>";					
					echo "</br>Redirecting you to login page in 5 sec................";
					echo "<font size='2'>";
					echo "</br>If it does not redirect, click the home button on top right</center>";
					header('refresh:5, url=index.php');
			}
			else
			{
			?>
			<script>alert('Please make sure that password field and retype password match correctly')</script>
			<?php
			header('refresh:1, url=new_user.php');
			}
		}
}



?>

对用户输入的数据进行了转义

	$username=  mysql_escape_string($_POST['username']) ;
	$pass= mysql_escape_string($_POST['password']);
	$re_pass= mysql_escape_string($_POST['re_password']);

插入数据库

insert into users ( username, password) values(\"$username\", \"$pass\")

为什么插入的是原数据而不是转义后的数据,我觉得应该是数据库内部的操作,自动去除了转义符\
之所以转义,是为了预防用户进行SQL注入

修改密码

<?php

//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");



if (isset($_POST['submit']))
{
	
	
	# Validating the user input........
	$username= $_SESSION["username"];
	$curr_pass= mysql_real_escape_string($_POST['current_password']);
	$pass= mysql_real_escape_string($_POST['password']);
	$re_pass= mysql_real_escape_string($_POST['re_password']);
	
	if($pass==$re_pass)
	{	
		$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
		$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
		$row = mysql_affected_rows();
		echo '<font size="3" color="#FFFF00">';
		echo '<center>';
		if($row==1)
		{
			echo "Password successfully updated";
	
		}
		else
		{
			header('Location: failed.php');
			//echo 'You tried to be smart, Try harder!!!! :( ';
		}
	}
	else
	{
		echo '<font size="5" color="#FFFF00"><center>';
		echo "Make sure New Password and Retype Password fields have same value";
		header('refresh:2, url=index.php');
	}
}
?>

同样对用户输入的数据进行了转义

	$curr_pass= mysql_real_escape_string($_POST['current_password']);
	$pass= mysql_real_escape_string($_POST['password']);
	$re_pass= mysql_real_escape_string($_POST['re_password']);

但是注意,这里的username是直接拿过来的,没有进行转义操作!!!
如果对username进行转义了,就不会出现二次注入漏洞了

UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'

https://blog.csdn.net/hhhhhhhhh85/article/details/121328475
https://blog.csdn.net/weixin_43901998/article/details/107288123

开心星人
关注
专栏目录
25-3 SQL 注入 - 二阶注入
weixin_43263566的博客
03-05 510
二次注入是一种常见于Web应用程序中的安全漏洞,也被称为SQL二阶注入。相对于一次注入漏洞,二次注入更不易被察觉,但却具有同样危险的攻击潜力。简而言之,二次注入指的是用户输入被存储后再次被读取并输入到SQL查询语句中,从而导致注入攻击。在二次注入中,网站可能对用户输入进行转义以防止一次注入攻击,但如果这些已存储在数据库中的用户输入在未被转义的情况下再次使用,就会存在二次注入的风险。尽管单独的每次注入可能不构成漏洞,但结合多次注入就可能导致注入攻击的发生。
Sqlilabs解题思路Less-24
Mr.Huang_的博客
10-22 297
目录Less-24 - Second Oder Injections *Real treat* - Stored Injections(二次注入) Less-24 - Second Oder Injections Real treat - Stored Injections(二次注入) 我们的步骤是 1.注册一个admin'#的账号。 2.login.php中是一个检查用户名是否成功登陆的页面,但是其中的sql语句有点问题: $sql = "SELECT * FROM users WHERE userna
SQL注入二次注入
qidiandexiaowu
09-21 295
原理:用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的时候不会进行处理,所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。 图解: 二次注入比普通的注入更难发现,很难被工具扫描出来。 原理大概知道了,接下来就是实战了 ...
SQL注入二次注入
最新发布
HaHiLi的博客
07-25 790
二次注入的原理,在第一次进行数据库插入数据的时候,仅仅只是使用了addslashes, 或者是借助 get magic_quotes_gpc 对其中的特殊字符进行了转义,但是 addslashes,有一个特点就是虽然参数在过滤后会添加“\”进行转义,但是“\”并不会插入到数据库中,在写入数据库的时候还是保留了原来的数据。比如在第一次插入数据的时候,数据中带有单引号,直接插入到了数据库中;在测试中,应先确定网站是否有过滤(一般都有)然后寻找注入点,一般邮箱,注册,修改密码,文章添加,编辑出现概率大。
Less 24二次注入
老司机开代码的博客
08-04 967
文章目录前言1. 二次注入的原理1.1 个人理解1.2 Example2. 题目分析2.1 主页2.2 注册页面2.3 登录成功界面(修改密码)3. 注入过程首先看一下数据库中原本的用户信息: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200711191827350.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubm
sql注入 sql-lab Less-24
weixin_43745072的博客
11-26 219
这关以来其实我就蒙了,界面过于复杂,后台php文件都有好几个。 阅读源码发现,所有地方都对输入进行了过滤。mysql_real_escape_string就是将特殊字符进行转移的函数。 除了一个地方->pass_change.php中,usermae是通过$_SESSION获取的,而$_SESSION中的参数是通过login.php中的参数设置的,这里根据代码分析,是传入的用户名。 注入,并在后台可以看到注入的真是语句为下图。 admin '# 在admin '#登录.
二次sql注入
三生三世的博客
05-14 1756
这种注入方式一般是在如下情况出现时发生:为了预防SQL注入攻击,而将输入到应用程序中的某些数据进行了“转义(escape)”,但是这些数据却又在“未被转义(Unescaped)”的查询窗体中重复使用。 例如,这里我们更改登录处理页面(在前面“攻击系统”一节中介绍的那个页面)以回避单引号: username = escape( Request.form("username") ); pas
第17天:WEB漏洞-SQL注入二次,加解密,DNS等注入1
08-03
2. **sqlilabs-less24-post 登陆框&二次注入**:登录表单通常会处理用户输入,如果未正确处理,可能会成为二次注入的入口点。 3. **sqlilabs-less9-load_file&dnslog 带外注入**:这个案例展示了如何使用`load_file`...
SQL注入——Less-1-5(学习笔记)
xdjxi的博客
02-25 2253
第一关 1.经过语句and 1=2测试 ,页面回显正常,所以该地方不是数值查询 2.接着尝试在id后面加上',发现页面回显不正常,表示可能存在SQL字符注入 3.输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入 4.接着使用order by 语句判断,该表中一共有几列数据 order by 3页面回显正常,order by 4页面回显不正常,说明此表一个有3列。5.将id=1改为一个数据库不存在的id值,如861,使用union select 1...
SQL注入--二次注入
weixin_44940180的博客
08-07 467
原理 攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入 防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中 当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入 二次注入,可以概括为以下两步: 第一步:插入恶意数据 进行数据库插入数据时,对其中的特殊字符进行了转义处理,在写入数据库的时候又保留了原来的数据。 第二步:引用恶意数据 开发者默认存入数据库的数据都是安全的
sqli-labs Less-24sqli-labs闯关指南 24)—二次注入
m0_54899775的博客
12-24 1017
sqli-labs Less-24sqli-labs闯关指南 24)—二次注入
SQL 注入二次注入
Myu_wzy的博客
12-30 6297
二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到 SQL 查询语句所导致的注入。防御者可能在用户输入恶意数据时,对其中的特殊字符进行了转义处理;但在恶意数据插入到数据库时,被处理的数据又被还原并存储在数据库中,当 Web 程序调用存储在数据库中的恶意数据并执行 SQL 查询时,就发生了 SQL 二次注入
SQL二次注入
nobugnomoney的博客
09-10 428
二次注入的原理: 主要分两步,第一步就是进行数据库插入数据的时候,仅仅对其中的特俗字符进行了转义,但是数据库保存的数据仍然具有恶意内容。第二步就是在下一次进行数据的查询过程中,直接从数据库中取得恶意数据(开发者认为数据是可信的),这样就造成了SQL二次注入。 实例:sqlilabs-less24 二次注入会出现在注册的页面: 点击进入注册界面: 此时数据库中的users为: 我们们向数据库中插入恶意数据: username:wenhao’# password: 123456 此时的数..
SQL注入二次注入
qq_45557130的博客
10-09 445
sql注入二次注入
二次注入(SQL)
m0_75046593的博客
04-17 314
先来一段理论 二次SQL注入(Second-Order SQL Injection)是一种特殊类型的SQL注入攻击。与一般的SQL注入攻击类似,攻击者会通过输入恶意的SQL语句来执行非法操作。而二次SQL注入则是指攻击者在应用程序中注入恶意的数据,然后等待应用程序将这些数据存储在数据库中。当应用程序再次从数据库中读取这些数据时,恶意数据就会被读取出来,并执行恶意操作。例如,一个web应用程序可能...
sql注入二次注入
C_LCH_2000的博客
08-19 1048
注入原理 攻击者构造恶意的数据并存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。 防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入
SQL注入二次注入
qq_68163788的博客
01-29 2235
二次注入SQL注入攻击的一种变体,它发生在应用程序对用户输入进行了过滤和防御措施的情况下。在这种情况下,攻击者可能会利用应用程序中的另一个漏洞,例如存储型XSS漏洞,来注入恶意的SQL代码。这种情况下,攻击者利用应用程序中的另一个漏洞来实现对数据库的注入攻击,因此被称为二次注入。 要防止二次注入攻击,开发人员需要实施全面的安全措施,包括对用户输入进行严格的验证和过滤,使用参数化查询或者存储过程等安全的数据库访问方法,以及定期进行安全审计和漏洞扫描。
SQL注入深度解析:从二次注入到堆叠注入
"Web应用安全中的其他注入二次注入问题,主要涉及Sqli-lab的第24关和第38关,重点讲解了二次注入和堆叠注入的概念、利用方式及防范措施。" 在Web安全领域,SQL注入是一种常见的攻击手段,其中二次注入和堆叠注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开心星人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值