【sql注入】简单实现二次注入

ichunqiu

【sql注入】简单实现二次注入

本文转自:i春秋社区

 

测试代码1:内容详情页面

[PHP] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
    include(\'./connect.php\'); //引入数据库配置文件
    $id=$_GET[\'id\'];
    $select_sql="SELECT * FROM article WHERE title=\'$id\'";
    echo $select_sql;
    mysql_query(\'set names utf8\');
    $select_sql_result=mysql_query($select_sql);
    $date=mysql_fetch_assoc($select_sql_result);
 ?>
 <!DOCTYPE html>
 <html>
   <head>
     <meta charset="utf-8">
     <title><?php echo $date[\'title\']."啦啦啦啦啦啦"?></title>
   </head>
   <body>
      <h1><?php echo $date[\'title\'] ?></h1><br />
      作者:<?php echo $date[\'author\'] ?><br/>
      时间:<?php echo date("Y-m-d H:i:s",$date[\'dateline\'])?><br />
      概述: <?php echo $date[\'description\']; ?><br />
      正文: <?php echo $date[\'content\'] ?>
   </body>
 </html>


测试代码2:内容添加页面

[PHP] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
<?php
   include(\'../connect.php\');
   $title=addslashes($_POST[\'title\']);  //addslashes 将预定义字符串转义
   $author=addslashes($_POST[\'author\']);
   $description=addslashes($_POST[\'description\']);
   $content=addslashes($_POST[\'content\']);
   $dataline=time();
   $insert="INSERT INTO article(title,author,description,content,dateline) VALUES(\'$title\',\'$author\',\'$description\',\'$content\',\'$dataline\')";
   echo $insert;
   mysql_query("set names utf8"); //设置编码
   if($result=mysql_query($insert)){
     $num=mysql_affected_rows($con);
     echo $num;
     }
 ?>


首先我们简单分析分析一下这两段代码。
测试代码1是一个内容显示页面,通过传入的title在数据库进行查询,然后在页面调用输出,我们可以看到传递的参数id并没有经过过滤,可以成为一个典型的字符串GET注入,但是我们今天要讨论的是二次注入,暂时不考虑这个注入。
测试代码2是一个添加页面,通过表单POST的数据执行INSERT语句插入数据,成功后返回数据库影响行数,而且这里的每一个参数都用addslashes函数进行了转义。
两段代码结合,我们可以发现一个典型的二次注入点,虽然文章添加页面中过滤的非常严格,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,再配合内容显示页面中的查询是通过title查询的,所以我们就可以利用这个构造一个二次注入。
首先我们插入一条注入语句

 
可以看到我们的单引号已经被转义,但是最后返回了一条“1”,证明我们的数据插入成功了,我们去数据库看一下
 

可以看到 转义用的“\”并没有插入数据库,但是我们的单引号还是成功插入了。我们来的主页面。

 
看到了我们刚插入的数据,注意左下角的链接,可以看到ID的参数就是我们的注入语句。打开连接

 
发现成功返回了 user() database()。
简单分析一下,当我们打开连接
http://127.0.0.1/CMS/article.show.php?id=1111\'union%20select%20null,null,null,user(),database(),null\'
URL中的ID被我们测试代码1中 $id=$_GET[\'id\']; 所获取并带入了sql语句查询,最终执行的SQL语句为
SELECT * FROM article WHERE title=\'1111\'union select null,null,null,user(),database(),null\'\'
------------------------------------------------------------
修复的方法:最基本的就是在执行INSERT前判断转义后的字符是否存在“\\'”如果存在就不执行INSERT。
其次在$id=GET[\'id\']获取参数时,进行过滤例如$id=addslashes($_GET[\'id\']),这样在获取到的参数中也会被转义无法执行

本文来源:http://bbs.ichunqiu.com/thread-11561-1-1.html

 

分类:

技术点:

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode