二次注入
原理:
第一次输入会被转义的payload,被特定函数转义后的数据会还原数据本身放在数据库中,并记录。
例如:admin'经过函数过滤变成admin\',但是存储在数据库中是admin',第二次引用时,比如修改密码时,数据库调用admin'时就会修改真实admin的密码。
sqli-Less-24
注册一个正常的scanner用户,密码为123
注册一个带入注入的payload账号:scanner’#,密码为111
修改scanner’#的密码为qwe,查看正常用户scnnaer账号密码是否被修改。
发现密码修改成功,登录scanner正常用户,使用密码123。
密码不正确,使用qwe登录。
登录成功!查看数据库中密码是否被修改。
修改成功!
查看源码:
利用了mysql_resl_escape_string()函数进行特殊处理。
mysql_resl_escape_string()
下列字符受影响:
\x00
\n
\r
\
'
"
\x1a
修改密码
修改密码时并没有进行二次过滤,所以可以构造语句
UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'
UPDATE users SET PASSWORD='$pass' where username='scanner'#' and password='$curr_pass'
#后语句直接失效变成
UPDATE users SET PASSWORD='$pass' where username='scanner'
修改scanner的密码
利用条件:
用户名为字符型查询
经过函数进行过特殊化处理
修改密码的sql语句并没用进行特殊处理