学习笔记-SQL注入-2

最新推荐文章于 2024-05-30 14:52:09 发布

H1111B

最新推荐文章于 2024-05-30 14:52:09 发布

阅读量341

点赞数

分类专栏： SQL注入文章标签： sql 学习数据库

本文链接：https://blog.csdn.net/weixin_52501704/article/details/126863948

版权

SQL注入专栏收录该内容

6 篇文章 0 订阅

订阅专栏

SQL注入-二次注入（原理）:

二次注入的原理，在第一次进行数据库插入数据的时候，仅仅只是使用了addslashes 或者是借助get_magic_quotes_gpc对其中的特殊字符进行了转义，但是addslashes有一个特点就是虽然参数在过滤后会添加“1”进行转义，但是“)”并不会插入到数据库°中，在写入数据库的时候还是保留了原来的数据。
在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候，直接从数据库中取出了脏数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入。比如在第一次插入数据的时候，数据中带有单引号，直接插入到了数据库中;然后在下一次使用中在拼凑的过程中，就形成了二次注入。

简单来说就是对数据没有进行检测，导致再次调用这个数据的时候会照成数据和SQL语句进行拼凑形成二次注入

SQL利用:

以 sqli-labs less 24 为例
（1）查看初始 users 表

发现初始 users 表中账号 admin 的密码为 admin

（2）注册用户

在网站注册名为 admin'-- - 密码为 123456 的用户

注册用户的主要代码如下：

    if (isset($_POST['submit']))
    {
       $username= mysql_escape_string($_POST['username']) ;
       $pass= mysql_escape_string($_POST['password']);
       $re_pass= mysql_escape_string($_POST['re_password']);
        //对注册账号时输入的数据进行转义

       echo "<font size='3' color='#FFFF00'>";
       $sql = "select count(*) from users where username='$username'";
       $res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
         $row = mysql_fetch_row($res);

       if (!$row[0]== 0)
           {
           ?>
           <script>alert("The username Already exists, Please choose a different username ")</script>;
           <?php
           header('refresh:1, url=new_user.php');
              }
           else
           {
                  if ($pass==$re_pass)
               {
                      $sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";
                    //创建账号的代码
                      mysql_query($sql) or die('Error Creating your user account, : '.mysql_error());

                    .........

我们可以在该 php 文件末尾中添加一句代码，在网页中打印出创建的用户名。把自动跳转页面的代码注释，方便查看效果。

echo "Hint: The Query String you input is escaped as : ".$username ."<br>";

可以发现此时的用户名 admin'-- - 的单引号已被转义，不能在注册用户时就直接进行 sql 注入，只能进行二次利用，去实现 sql 注入获取数据。

（3）修改用户密码

我们先查看一下此时的 users 表，发现多了一个用户 admin'-- -，而不是刚刚网页打印出来的 admin\'-- -，这是因为创建用户的代码只是在单引号前加了一个 \ ，使得在执行的时候单引号被认为是字符串里的一个字符，而不是被当成 sql 语句中的单引号。

修改用户 admin'-- - 的密码

再一次查看 users 表，发现用户 admin‘-- - 的密码并没有被修改，而是用户 admin 的密码被修改了。于是我们就有了 admin 的账户密码。

3、原因

在网站设计时，虽然过滤了注册的信息，把特殊字符进行了转义，但是在从数据库调用从外部保存下来的数据时，并没有进行过滤，使得“admin'-- -”被代入到 sql 语句执行，执行了这段 payload，达到了修改用户 admin 的密码的目的
具体代码

    #原语句
    UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'

    #插入 payload 后的语句
    UPDATE users SET PASSWORD='$pass' where username='admin'-- -' and password='$curr_pass'
    #此时 'admin' 后的语句被注释

    #真正的生效的语句
    UPDATE users SET PASSWORD='$pass' where username='admin'
    #从而达到了修改用户 admin 密码的目的

4、防御措施

（1）对外部提交数据谨慎

（2）从数据库取数据时，不能轻易相信查询出的数据，要做到同样的转义或是甄别