本文详细介绍了PHP中布尔盲注和时间盲注的原理及其检测方法,以及在源码中的实际应用。同时展示了如何通过工具如sqlmap进行攻击和防御措施,如使用PDO和Anti-CSRFtoken提高安全性。
文章目录
0. 盲注介绍
盲注,有两种主要类型,包括布尔盲注和时间盲注
0.1 布尔盲注
核心是判断回显正确与否。布尔即页面有回显,但不显示具体内容,只有登陆成功和登录失败这两种情况,显示语句是否正常执行。布尔盲注的步骤是首先使用length()判断查询结果的长度,然后使用substr()截取每一个字符,并穷举出字符内容。
常用的函数还有sleep()和if()
0.2 时间盲注
通过注入特定语句,根据对页面请求的物理反馈,判断是否注入成功,比如在SQL语句当中使用sleep()函数加载网页的时间来判断注入点,适用场景是无法从显示页面上互殴去执行结果的情况。
0.3 常用函数
if()
功能:条件判断。
语法格式:if(expr1,expr2,expr3):expr1
为true则返回expr2,expr1为false则返回 expr3。
注: 仅MySQL支持if(expr1,expr2,expr3)。
length()
功能:返回字符串的长度,以字节为单位。
语法格式:length(str)
substr()、substring()
功能:从指定的位置开始,截取字符串指定长度的子串。
语法格式:substr(str,pos)或substr(str,pos,len),substring(str,pos)或substring(str,pos,len)
参数说明
lstr:要提取子串的字符串。
lpos:提取子串的开始位置。
len:指定要提取的子串的长度
ascii()、ord()
功能:返回字符串最左边字符的ASCII码值。
语法格式:ascii(str),ord(str)
延时函数sleep()
功能:让语句延迟执行一段时间,执行成功后返回0。
语法格式:sleep(N),即延迟执行N秒。
1. Low
1.1 源码分析
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Get input
$id = $_GET[ 'id' ];
// Check database
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $getid ); // Removed 'or die' to suppress mysql errors
// Get results
$num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
if( $num > 0 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
这段PHP代码直接将用户输入(通过$_GET[‘id’]获取)拼接到了SQL查询语句中,而没有进行任何形式的验证或转义。
即变量 i d 直接从 id直接从 id直接从_GET全局数组中获取,然后在查询语句中未经处理直接使用:
如果攻击者在请求的URL当中传递了恶意的id参数,将导致查询条件总是为真,可能会返回所有用户的信息,从而泄露敏感数据
回显也有问题,返回结果只有两种,user id exiets in the database和user id is missing from the database。
1.2 实操
输入1之后点击submit抓包
最低0.47元/天 解锁文章
扫一扫
338
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
