在很多人眼里,代码审计的基础就是代码,这句话没错,但是如果不会代码,我们是否可以学会代码审计?
答案是:可以(不过由于个人代码阅读能力有限,很多漏洞可能不会那么容易被关注到)
0x01 准备环节
开始之前我们需要了解我们要准备的一些必备的东西,当然这里我们讲的不是代码审计所需要的环境,而是我们在代码审计过程中需要查阅的一些资料。
1:php官网
https://www.php.net/
主要作用是用于函数作用查看,我们本文主要讲的是sql注入,当然除sql注入以外的其他漏洞的相关函数也是可以通过php官网查看的,当然为了提升个人php代码阅读能力也可以通过php官网进行学习。
2:菜鸟学院
https://www.runoob.com/php/php-tutorial.html
菜鸟学院的php页面没有官网上函数那么的全,不过菜鸟学院主要是作用于学习,可提升个人代码阅读能力。
0x02 sql注入的产生
在以往的文章中,大家可能已经对sql注入有一定的了解,我们就不做过多介绍,不懂的同学可以看下我们过去的文章,我们直接从代码来看,以sqli-labs中的less-1为例,页面代码如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-1 **Error Based- String**</title>
</head>
<body bgcolor="#000000">
<div style=" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome <font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00">
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);
// connectivity
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}
?>
</font> </div></br></br></br><center>
<img src="../images/Less-1.jpg" /></center>
</body>
</html>
我们抛开所有的输入和html代码仅取有用代码,如下:
if(isset($_GET['id'])) //判断id是否为空
{
$id=$_GET['id']; //声明id变量
随后将$id带入到数据库中查询:
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
这里可以注意,带入过来的为字符串类型,那么我们在这里几乎等于是:
<?php
$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
?>
但是由于这里我们没有创建数据库与数据库链接,所以我们可以使用echo直接查看:
<?php
$id=$_GET['id'];
//$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
echo $id;
?>
这个时候通过输出我们可以了解到这里,无论我们输入什么东西,都会被带入到$id的位置进行个输出,那么放到数据库中即是原本执行了:
SELECT * FROM users WHERE id='$id' LIMIT 0,1
但是我们查询了 1',语句则变为
SELECT * FROM users WHERE id='1'' LIMIT 0,1
0x03 修复及存在风险问题
通过上述代码,我们可以很直接的理解代码审计过程中的sql注入,但是随着安全的普及更多程序员有了安全意识,在开发过程中会使用到一些函数,如:addslashes、intval等。
这些函数通常使用是没有问题的但是在特定条件下使用仍然是存在问题,如:
<?php
$id = addslashes($_GET["a"]);
echo $id;
?>
我们在正常情况下使用addslashes函数是会自动转义单引号的,但是在对传参进行编码后:
<?php
$id = addslashes($_GET["a"]);
$id = base64_decode($id);
echo $id;
?>
可以看到addslashes函数并未起到应有的效果。
当然以上只是一种情况,如果编码没有设置好的话,addslashes函数也会导致存在宽字节注入,具体可以参考php官网的介绍及回顾下我们之前发表的宽字节注入文章。
0x04 总结
此篇文章整体来讲,介绍的并不是特别的详细,在修复注入这块建议使用参数化查询,更为稳妥一些,其他的修复方案比较考验开发人员写代码过程中的一些注意点,稍有不慎可能你感觉这个漏洞修复了,其实就是换了个方式。