PHP代码审计-sql注入

已于 2022-11-08 01:38:15 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: 安全笔记 文章标签: 1024程序员节
于 2022-10-24 22:56:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/127274079
版权

文章目录

前言

最近想学代码审计了,但是我本身的代码水平不高,学的比较基础,适合入门级别的朋友们阅读

先学php的审计,后面再学java的吧(java只懂一点点)

就不太多的赘述漏洞和代码的基础了,遇到不会的搜索其他人的文章就可以学会的

入门我是看的代码审计相关的一些知识 后面实战的代码也在这里可以下载的

sql注入

字符型注入

下面看一段最典型的存在sql注入的代码

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables 
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);
// connectivity 
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}
?>

可以看到通过GET传参获取id的值后,就带入sql命令中去了WHERE id='$id'

那么如果id值中本身就包含'就会造成'后面的语句逃逸出来,并且会被执行

payload:?id=-1%27union%20select%201,user(),3--%20+

魔术引号

magic_quotes_gpc即gpc魔术引号开关

magic_quotes_gpc的作用为转义客户端传过来的数据中的预定义特殊字符(预定义特殊字符为单引号、双引号、反斜杠及Null),magic_quotes_gpc对从$_GET、$_POST及$_COOKIE等数组传过来的数据中的预定义特殊字符添加反斜杠进行转义。

如果开启魔术引号后,'就会被转义为\',这样就不会闭合sql语句,从而也不会执行'后面的语句

但是magic_quotes_gpc只会转义单引号、双引号、反斜线、NULL,但是数字型注入是过滤不了的

编码注入

有些为了业务需要他会把传入一些编码后的参数再解码带入数据库查询,我们常见的有base64编码,也有的程序会内置url解码,这类写法通常见于框架。

base64编码

下面是经过base64后,需要base64解码后带入sql语句的代码

<?php
include("../sql-connections/sql-connect.php");
$id=base64_decode($_GET['id']);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
 
if ($row) {
    echo "id:".$row['id']."<br>";
    echo "用户名:".$row['username']."<br>";
    echo "密码:".$row['password']."<br>";
}else{
    print_r(mysql_error());
}
echo '<hr>';
echo "查询的语句是:$sql";
?>

他这个是在后台解码,也没有过滤。直接将上面的payload经过base64编码后传入即可

payload:?id=JyB1bmlvbiBzZWxlY3QgMSx1c2VyKCksMyAtLSAr
在这里插入图片描述

url编码

<?php
include("../sql-connections/sql-connect.php");
$id=urldecode($_GET['id']);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
 
if ($row) {
    echo "id:".$row['id']."<br>";
    echo "用户名:".$row['username']."<br>";
    echo "密码:".$row['password']."<br>";
}else{
    print_r(mysql_error());
}
echo '<hr>';
echo "查询的语句是:$sql";
?>

payload:?id=%2527union%20select%201,user(),3--%20+
在这里插入图片描述

%2527经过一次url解码后是%27,在经过一次url解码后为'

因为接受的参数只会被url解码一次,传入的值不是魔术引号认识的值所以可以绕过

宽字节注入

<?php
$conn = mysql_connect('localhost', 'root', 'root');
mysql_select_db("security",$conn);
mysql_query("set names 'gbk' ",$conn);
$id=urldecode($_GET['id']);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
 
if ($row) {
    echo "id:".$row['id']."<br>";
    echo "用户名:".$row['username']."<br>";
    echo "密码:".$row['password']."<br>";
}else{
    print_r(mysql_error());
}
echo '<hr>';
echo "查询的语句是:$sql";
?>

宽字节注入指的是 mysql
数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql会调用转义函数,将单引号变为’,其中\的十六进制是%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。

详细见https://www.cnblogs.com/cscshi/p/15705038.html

pyload:?id=1 %df' order by 4 -- '

过滤方法

魔术引号和addslashes函数都是通过转义进行的过滤,更多的是采用正则匹配来过滤

PHP addslashes() 函数

代码审计实战

这次面对的是熊海CMS V1.0,代码审计的典型案例了。

注意将php版本改为5,高版本是打开空白页面的
在这里插入图片描述

然后打开熊海cms的目录即可安装,安装完毕后如下图
在这里插入图片描述

漏洞位置1:admin/files/login 登陆界面
在这里插入图片描述
POST获取user后,直接代入sql语句查询,并没有做过滤,而且返回了sql的错误信息,可以采取报错注入。或者sqlmap一把梭。

111' and (updatexml(1,concat(0x7e,(select user()),0x7e),1))-- +

漏洞位置2:admin/files/editcolumn、网页地址:/admin/?r=editcolumn 编辑栏目页面

可以看到update数据,并且返回sql错误信息,且未作过滤

可以直接放到sqlmap中跑的
在这里插入图片描述
在这里插入图片描述

漏洞位置3:admin/files/editlink 网页地址:/admin/?r=editlink 编辑链接

与漏洞二形成原因一致,update数据无过滤,且返回sql错误信息

在这里插入图片描述

漏洞位置4:admin/files/editsoft 网页地址:/admin/?r=editsoft 编辑软件
漏洞位置5:admin/files/editwz 网页地址:/admin/?r=editwz 编辑文章
漏洞位置6:admin/files/imageset 网页地址:/admin/?r=imageset 图片设置
漏洞位置7:admin/files/manageinfo 网页地址:/admin/?r=manageinfo 资料设置
漏洞位置8:admin/files/seniorset 网页地址:/admin/?r=seniorset 高级设置
漏洞位置9:admin/files/newlink 网页地址:/admin/?r=newlink 添加链接
漏洞位置9:admin/files/siteset 网页地址:/admin/?r=siteset 基本设置
漏洞位置10:admin/files/reply 网页地址:/admin/?r=reply&id=1&type=1 评论回复,需要有id和type参数

上述漏洞原因均为sql语句的参数未过滤,并且有sql报错值返回

其余扫描到的sql注入漏洞位置,均用了addslashes函数进行过滤
在这里插入图片描述

在这里插入图片描述
本套CMS的sql注入漏洞大致如上

【零基础】php代码审计sql注入
课嗨教育的专栏
07-24 358
此篇文章整体来讲,介绍的并不是特别的详细,在修复注入这块建议使用参数化查询,更为稳妥一些,其他的修复方案比较考验开发人员写代码过程中的一些注意点,稍有不慎可能你感觉这个漏洞修复了,其实就是换了个方式。主要作用是用于函数作用查看,我们本文主要讲的是sql注入,当然除sql注入以外的其他漏洞的相关函数也是可以通过php官网查看的,当然为了提升个人php代码阅读能力也可以通过php官网进行学习。在很多人眼里,代码审计的基础就是代码,这句话没错,但是如果不会代码,我们是否可以学会代码审计...
【网络安全】php代码审计-sql注入进阶篇
2201_75857562的博客
02-08 286
代码审计的方式给大家讲解一些sql的绕过技巧。
熊海CMS网站SQL注入、XSS攻击、cookie篡改
m0_63917373的博客
11-01 2300
熊海CMS sqlmap工具 SQL注入 XSS cookie篡改
PHPSQL注入攻击
巅峰测试
08-03 1308
 SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。 看这个例子:// supposed input$name = “ilia’; DELETE FROM users;
SQL注入进阶篇一php代码审计
kali_Ma的博客
10-15 1527
前言 在实际的网站中和用户的输入输出接口不可能想那样没有防御措施的。现在各大网站都在使用waf对网站或者APP的业务流量进行恶意特征识别及防护,,避免网站服务器被恶意入侵。所以我们就需要绕过waf,这篇文章就用代码审计的方式给大家讲解一些sql的绕过技巧。 关键字过滤 部分waf会对关键字进行过滤,我们可以用大小写或者双写关键字来绕过。 源代码分析 <?php require 'db.php'; header('Content-type:text/html;charset=utf8'); $usern
php代码审计sql注入
qq_54030686的博客
12-05 1283
php代码审计sql注入 审计有几种方法,通读,指定函数,或者功能点 通读也就是每一个php都阅读一下,发现每一个页面实现的功能(对于我刚开始接触php来说,不可能) 功能点 自己使用源码,phpstudy搭建环境,使用AWVA,appscan,nessus等工具进行扫描,在输入框,文件上传等功能点进行测试,还可以根据回显,例如:不允许此类型文件上传,使用seay审计系统查询,审计相关方法 此篇为sql注入 sql注入产生的原因:用户输入恶意构造的语句,服务器后端未进行足够的校验,恶意语句直接添加sql
PHP-代码审计-SQL注入
weixin_44110913的博客
08-26 657
代码审计 白盒测试 搭建成功后 用WEB漏洞扫描工具 利用网站的源码进行代码审计 准备工作 漏洞参数条件:函数 可控变量 列如sql注入 函数关键字:mysql_connect mysql_select_db mysql_query 等 可控变量关键字:$_GET $_POST $_REQUEST $_SERVER等 定点漏洞挖掘 分析漏洞产生条件 得到漏洞关键字 利用工具查找关键字 分析文件名进行判断筛选 对文件进行代码分析 跟踪变量 确定是否存在该漏洞 正常定点挖掘 数据库监控工具挖掘
【基础篇】第01篇:PHP代码审计笔记--SQL注入1
08-03
PHP代码审计笔记——SQL注入1】主要探讨的是在PHP环境中如何防止SQL注入攻击,特别是针对MySQL数据库。SQL注入是一种常见的网络安全威胁,攻击者通过构造恶意的SQL语句,利用程序漏洞来执行非授权的操作,如获取...
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
极致CMS审计报告详解 本文档将详细介绍极致CMS(以下简称JIZHICMS)的安全审计报告,涵盖... 某 cms 代码审计引发的思考. Retrieved from 资源 * 极致CMS官方网站: * 相关安全研究文献:<https://xz.aliyun.com/>
ChuanHaiShop-php-yaf-sql注入
最新发布
12-13
SQL注入是一种常见的网络攻击手段,攻击者通过在Web表单输入或URL查询字符串中注入恶意SQL代码,从而操作后端数据库,获取、修改、删除甚至执行数据库中的敏感数据。 SQL注入攻击之所以能够成功,通常是因为应用...
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
在网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
php代码审计SQL注入1
willow_liang的博客
10-27 242
** sql注入 ** sql注入产生的原因: 程序开发过程中不注意规范书写sq|语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sq|语句正常执行. 条件: 可控制用户数据的输入; 原程序要执行的代码,拼接了用户输入的数据 危害: SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库
PHP代码审计笔记--SQL注入
11-01 127
    0X01 普通注入 SQL参数拼接,未做任何过滤 <?php $con = mysql_connect("localhost","root","root"); if (!$con){die('Could not connect: ' . mysql_error());} mysql_select_db("test", $con); $id = stripc...
PHP代码审计系列基础文章(一)之SQL注入漏洞篇
FreeBuf_的博客
11-14 1291
在审计SQL注入的时候,我们首先要找到对应的传参点,更要多关注代码中正常SQL语句的规则和过滤情况,最重要的是要闭合正常的SQL语句来,最终执行我们想要执行的SQL语句。
PHP代码审计基础:SQL注入漏洞
1匹黑马
11-25 969
文章目录SQL注入介绍环境搭建创建数据库编写注入页面数字型注入与字符型注入的区别数字型注入字符型注入注入的利用方式查询数据读写文件 SQL注入介绍 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 环境搭建 创建数据库 create database admin; use admin; c
PHP代码审计入门(SQL注入漏洞挖掘基础)
weixin_30449239的博客
09-02 387
SQL注入漏洞 SQL注入经常出现在登陆页面、和获取HTTP头(user-agent/client-ip等)、订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTTP头里面的client-ip和x-forward-for。 1.普通注入 普通注入是指最容易利用的SQL注入漏洞,比如直接通过注入union查询就可以查询数据库,一般的SQL注入...
php代码审计-sql注入初级篇
MSB_WLAQ的博客
10-14 373
概述 代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。这篇文章的目的是为了让小伙伴们对php代码审计有一个基本的了解,采用的代码都是自己写的仅仅能体现出漏洞所以会略显简洁。并且这次文章的主要内容为代码审计所以不会写太多的注入语句,更多的是对代码的分析,有兴趣的同学可以百度查查资料。 环境要求 phpstudy和一篇简单易懂的php源码 sql注入 SQL 注入SQL Injection) 是发生在 Web 程序中数据库层的安全漏洞,是
PHP代码审计 08 SQL 注入
kevinhanser
07-21 556
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 什么是 SQL 注入 SQL 注入攻击指的是通过构建特殊的输入作为参数传入Web 应用程序,而这些输入大都是SQL 语法里的一些组合,通过执行SQL 语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sec0nd_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值