sql注入漏洞_原创干货 | 二阶SQL注入漏洞

最新推荐文章于 2024-03-17 21:37:36 发布
最新推荐文章于 2024-03-17 21:37:36 发布
阅读量273 收藏
点赞数 1
文章标签: sql注入漏洞 sql注入语句 sql注入语句万能密码

大家通常谈论的SQL注入都是一阶SQL注入漏洞,但是还有一种二阶SQL注入,原理跟一阶SQL注入相同,只是稍加复杂,而且更加难以发现,难以利用,今天我们来分析一下二阶SQL注入漏洞。

二阶SQL注入原理

首先,要明白一阶SQL注入漏洞是在单个HTTP请求响应中触发的,而二阶SQL注入漏洞则需要两个HTTP请求响应,第一次HTTP请求是精心构造的,为第二次HTTP请求触发漏洞做准备。

在第一个HTTP请求中,攻击者构造脏数据(带有单引号或注释符)存储到数据库中。

在第二个HTTP请求中,攻击者直接从数据库中读取脏数据,没有执行进一步的校验和处理就拼接到下一次SQL查询中,从而造成二阶SQL注入漏洞。

其实,归根结底还是一个信任问题。开发人员信任了从数据库中来的数据,而没有进行处理和净化。

网上有张图对二次注入解释的比较清楚,在这里引用一下:

3df57d700633af8a5e68846ed2bd68d3.png

关于转义函数,我们需要重点关注:addslashes(),mysql_escape_string()和mysql_real_escape_string()。这几个函数,在参数插入数据库时会对特殊字符进行转义,但是保存在数据库中时还是原始格式内容。

二次SQL注入实例

sqlilab是一个SQL注入练习靶场,全面涵盖了各种SQL注入场景,练习SQL注入技术,一定要刷sqlilab。(sqlilab项目下载地址:https://github.com/Audi-1/sqli-labs)

sqlilab中的第二十四关,考察的知识点是二次SQL注入,我们来分析一下这个漏洞和其中的代码:

f177ad00b046fa1bf3575b20a0354ceb.png

登录的位置我们可以尝试是否存在SQL注入,尝试几次后发现行不通,无论输入什么SQL注入语句,都是无异常,如下图:

60f11189a401d0993d60ff92fdf1902e.png

看了源码才知道,这里输入的用户名和密码都经过了mysql_real_escape_string()这个函数的处理。

640243c91da240083e452c34e0414cf7.png

查一下这个函数,它会对SQL语句中的某些特殊字符进行转义:

2756914378a2f20596d2a88f4c26e86d.png

使用了这个函数,基本上注入是不太可能了。

如果仔细看的话,在登录页面下面还有两个功能,一个是忘记密码,一个是注册新用户。我们先注册一个venus用户,密码为111111,然后使用这个用户登录,登录成功界面如下:

88caf4f8c6a6ded49b5945c65d6542f4.png

登录之后,是一个让我们修改密码的功能。

我们看一下修改密码的源码并分析其中的逻辑

406e20244c73ba373823100234ca5d6f.png

可以看到$username是直接从session中获取的,并没有进行转义操作,而其他的几个变量如$curr_pass和$pass都已经经过mysql_real_escape_string函数处理。问题就出在$username这个参数上,session中的username是从数据库中获取到的。

而在这个例子中,我们可以通过注册账号往数据库中写入带有特殊字符的username,我们先看看注册用户的后台处理代码:

e59d32e462d40a922ff9493fa6ddd29e.png

注册用户时,使用了mysql_escape_string()函数,前面提到过,这个函数会对特殊字符进行转义,但最终存储到数据库时还是保留了原始格式,我们可以注册一个venus’#用户来验证一下,密码是123123,注册完成登录:

138bc595f6120e027daeb45f55c3b28a.png

注册成功之后,我们去数据库中查看下当前的用户名和密码:

b1f4273d056b9c551a2567dfbf670112.png

前面的是系统内置的用户,15和16是我们刚才注册的用户。

OK,现在我们来修改venus’#的密码,然后再看看修改密码的SQL语句,这里我们将密码改为123456。源码里的SQL语句如下:

7532b0ef424aeae2e24068bae848f60b.png

将用户名拼接到SQL语句中之后,SQL语句就成为了如下所示:

UPDATE users SET PASSWORD='123456' where username='venus’#' and password='$curr_pass'

由于#号注释掉了后面的语句,所以,我们本来是修改的venus’#的密码,但实际上修改了venus的密码,而且venus’#的当前密码也可以随便输入。

e3f0e70fe8cfcc47e1bd3aa8c879d638.png

8b76e4437e341cebccbba6d703400d21.png

现在我们再来看看数据库中venus用户的密码:

4ee0527a4258aec944888bd1444fd8b3.png

发现venus的密码改变了,而venus’#的密码没有变化。

我们现在用刚才修改的密码123456去登录venus这个用户

d7943dd4d379e76e347088c1cbb5cf33.png

登录成功。

这就是典型的二次SQL注入漏洞。

二阶SQL注入防御

防御SQL注入最有效的方法还是预编译,尽量避免使用SQL语句拼接。

如果使用了SQL语句拼接,要对所有拼接到SQL语句的参数进行严格的净化和处理。

结语

通过上面的讲解和案例分析,相信大家对二阶SQL注入有了一定的了解。二阶SQL注入漏洞比一阶SQL注入更加隐蔽和难以发现,根据二阶SQL注入形成原因,挖掘的时候应该重点关注数据库写入操作,比如创建用户或者是某个请求中提交精心构造的输入,然后逐步跟踪应用程序中可能会使用该输入的地方,来查找应用程序是否会有异常。二阶SQL注入的危害不仅是上文提到的修改管理员账户的密码,根据场景的不同,它的危害跟普通的SQL注入一样。如果在以后的渗透中遇到二阶SQL注入,会继续跟大家分享。

参考文献

1. 《SQL注入攻击与防御第二版》

2.  https://www.jianshu.com/p/3fe7904683ac

a4407c51cc4b8e061c5b80cd842e7a8d.png

weixin_39563827
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php is_numberic函数造成的SQL注入漏洞
09-04
主要介绍了php is_numberic函数造成的SQL注入漏洞和解决办法,需要的朋友可以参考下
SQLi-Labs靶场的下载与安装
qq_43036356的博客
05-23 1189
因为:mysql_connect() 在php5以后的版本中不在使用,使用mysqli_conncet()代替,准确的来说是mysql类被mysqli类代替,在php5+版本中可以同时使用mysql类和mysqli类。2、将解压出来的sqli 文件移动到,你的phpstudy的存放网站的www的根目录下。找到: sqli/sql-connections/db-creds.inc 文件。1、下载好后,解压出来。选择,刚刚下载好的低版本php。降低php的版本至php5+即可。3、修改sqli的配置信息。
SQL注入二阶注入攻击与环境搭建+防范方法
Zeker62的博客
09-01 777
目录什么是二阶注入?环境搭建登录界面:数据库连接代码:注册界面:修改密码界面漏洞复现漏洞分析漏洞防范什么是二阶注入? 二阶注入是指完成一次SQL注入攻击需要进行两次SQL注入(即至少两个不一样的SQL语句查询) 比如我在a页面进行了SQL注入,注入的结果在b页面进一步利用,并在b页面再进行注入,即可得到我们想要的结果。 所以,想要完成二阶注入的操作,至少需要在多页面互动 下面以一个注册+修改密码...
复现vulhub中magento的2.2-sqli漏洞
最新发布
YX_zjp的博客
03-17 1368
Magento(麦进斗)是一款新的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞。3、通过访问your-ip:port可以看到Magento的安装页面。时,返回的HTTP状态码不同,通过改变OR的条件,即可实现SQL BOOL型盲注。/magento-sqli.py以下载poc,poc内容为。4、分别访问链接,再通过burp suite抓包,
SQL注入之二次注入攻击
coderge's CSDN Blog.
09-18 954
目录 1 二次注入的原理 2 以sqli-labs24为例: 2.1 注册admin'#账号 2.2 注意此时的数据库中出现了admin'#的用户,同时admin的密码为admin 2.3 登录admin'#,并修改密码 2.4 这时并没有修改admin'#的密码,而是修改了admin的密码。原理上面已经提过 1 二次注入的原理 在第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义,在写...
常见的一些SQL注入漏洞类型
Loser5的博客
03-14 5734
刚接触SQL注入不久,整理了一些常见的漏洞类型和相关漏洞的演示过程。
零基础学SQL注入必练靶场之SQLiLabs(搭建+打靶)
Ms08067安全实验室
12-20 1万+
文章来源 | MS08067Web零基础就业班1期作业本文作者:giunwr、tyrant(零基础1期)SQLi-Labs是一个专业的SQL注入漏洞练习靶场,零基础的同学学SQL注入的时候,sqli-labs这个靶场是必练的,它里面包含了很多注入场景,以及在sql注入的时候遇到的各种问题,适用于GET和POST场景,包含了以下注入:一、作业描述完成sqllibs前18关,尽可能使用多的方法二、s...
sqli-labs靶场安装
剁椒鱼头没剁椒的博客
10-22 6304
PhpStudy国内12年老牌公益软件,集安全,高效,功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。Sqlilabs是一个学习sql注入的平台,GET和POST场景包括了许多基本的实验内容,例如:基于错误的注入、盲注、更新查询注入、插入查询注入、Header注入、二次注入、Bypass WAF、堆叠注入等等。
sqli-labs简单安装
qq_45746876的博客
07-18 2009
sqli-labs简单安装
SQL注入漏洞全接触.ppt
11-15
SQL注入漏洞全接触.ppt
php中sql注入漏洞示例 sql注入漏洞修复
12-18
 一、SQL注入的步骤 a) 寻找注入点(如:登录界面、留言板等) b) 用户自己构造SQL语句(如:’ or 1=1#,后面会讲解) c) 将sql语句发送给数据库管理系统(DBMS) d) DBMS接收请求,并将该请求解释成机器代码指令,...
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
SQL注入二阶注入
秋水的博客
09-01 5324
二阶注入简介 注入分类: SQL注入一般分为两类:一阶SQL注入(普通SQL注入),二阶SQL注入 什么是二阶注入? 二阶注入就是无法直接注入,它时指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。 注入原理 注入比较: 一阶SQL注入:       1;一阶SQL注入发生在一个HTTP请求和响应中,对系统的攻击是立即执行的;     ...
【无标题】
weixin_51387754的博客
10-17 1092
CISP-PTE专注于培养、考核高级实用型网络安全渗透测试安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
sqli-labs下载与安装
热门推荐
浅笑996的博客
09-28 1万+
Sqli-labs 下载 Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程。 博客地址为:http://dummy2dummies.blogspot.hk/, 博客当中有一些示例,国内很多博客内容都是从该作者的博客翻译过来的。同时该作者也发了一套相关的视频,在youtube上可以查看。 此处考虑到有些朋友不会FQ,遂分享到国内地址。 http://pan.baidu.com...
SQL注入】二次注入:原理、利用过程
06-14 3361
SQL注入-二次注入】
Php对接ilab,部署sqlilab
weixin_42525387的博客
04-09 409
MySQL已经安装Apache是yum安装的查看httpd包是否可用:yum list | grep httpd安装Apacheyum install httpd开启Apachesystemctl start httpd测试Apache启动成功文件路径说明:服务目录 /etc/httpd主配置文件 /etc/httpd/conf/httpd.conf网站数据目录 /var/www/ht...
CISP-PTE之SQL注入(二次注入的应用)
lza20001103的博客
07-04 2484
CISP-PTE之SQL注入(二次注入的应用)
v_sql := v_sql || 'column' || i;什么意思
07-13
`v_sql := v_sql || 'column' || i;` 在这里,`||` 是Oracle中的字符串连接运算符。它将两个字符串拼接在一起,生成一个新的字符串。 `v_sql` 是一个变量,用于存储最终的查询语句。在这行代码执行之前,`v_sql` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值