当前位置: 首页 > article >正文

SQL注入--二次注入

一.基本概念

二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。

二.注入原理

二次注入的原理:在第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes​ 或者是借助 get_magic_quotes_gpc​对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是脏数据。

在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。比如在第一次插入数据的时候,数据中带有单引号,直接插入到了数据库中;然后在下一次使用中在拼凑的过程中,就形成了二次注入。

三.注入过程

  1. 先构造语句(此语句含有被转义字符的语句,如mysql_escape_string、mysql_real_escape_string 转义)
  2. 将我们构造的恶意语句存入数据库(被转义的语句)
  3. 第二次构造语句(结合前面已被存入数据库的语句构造。因为系统没有对已存入的数据做检查,成功注入)​

四.靶场示例

靶场:sqli-labs less 24

1.查看初始的users​表
  • 发现表中 admin 用户的密码为 admin
2.注册用户
  • 主要代码 login_create.php​ 如下:

    • if (isset($_POST['submit']))
      {
      # Validating the user input........
      //$username= $_POST['username'] ;
      	$username=mysql_escape_string($_POST['username']) ;
      	$pass=mysql_escape_string($_POST['password']);
      	$re_pass=mysql_escape_string($_POST['re_password']);
      	// 对注册账号时输入的数据进行转义
      	echo "<font size='3' color='#FFFF00'>";
      	$sql = "select count(*) from users where
      	username='$username'";
      	$res = mysql_query($sql) or die('You tried tobe smart, Try harder!!!! :( ');
      	$row = mysql_fetch_row($res);
      //print_r($row);
      if (!$row[0]== 0)
      {
      ?>
      <script>alert("The username Alreadyexists, Please choose a different username ")
      </script>;
      	<?php
      	header('refresh:1, url=new_user.php');
      	}
      	else
      	{
      		if ($pass==$re_pass)
      		{
      			# Building up the query........
      			$sql = "insert into users (
      			username, password) values(\"$username\",\"$pass\")";
      			mysql_query($sql) or die('Error Creating your user account, : '.mysql_error());
      
      

      可以在该php文件末尾添加一句代码,在网页中打印出创建的用户名。

      ​echo "Hint: you input is: ".$username ."<br>";​

  • 注册一个名为 admin'# ,密码为 123456 的用户

3.修改用户密码

我们先查看一下此时的 users 表,发现多了一个用户admin'# ,而不是刚刚网页打印出来的 admin\'# ,这是因为创建用户的代码只是在单引号前加了一个 \ ,使得在执行的时候
单引号被认为是字符串里的一个字符,而不是被当成 sql 语句中的单引号。

  • 使用 admin'# 用户登录​

  • 修改 admin'# 用户的密码


  • 再次查看 users 表,发现用户 admin'# 的密码并没有修改,而是用户 admin 的密码被修改了。

原因

  • 介绍:在网站设计时,虽然过滤了注册的信息,把特殊字符进行了转义,但是在从数据库调用从外部保存下来的数据时,并没有进行过滤,使得 admin'# 被代入到 sql 语句执行,执行了这段 payload,达到了修改用户 admin 的密码的目的。

  • 具体代码:

    #原语句
    UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'
    
    #插入 payload 后的语句
    UPDATE users SET PASSWORD='$pass' where username='admin'#' and password='$curr_pass'
    #此时 'admin' 后的语句被注释
    
    #真正的生效的语句
    UPDATE users SET PASSWORD='$pass' where username='admin'
    #从而达到了修改用户 admin 密码的目的
    

http://www.kler.cn/a/429205.html

相关文章:

  • 前端基础笔记
  • 《贪心算法:原理剖析与典型例题精解》
  • python中的RPA->playwright自动化录制脚本实战案例笔记
  • 第34天:Web开发-PHP应用鉴别修复AI算法流量检测PHP.INI通用过滤内置函数
  • MySQL 数据库 :SQL 语句规约(不得使用外键与级联,一切外键概念必须在应用层解决。)
  • pytest全局配置文件pytest.ini
  • Mybatis-plus 简单使用,mybatis-plus 分页模糊查询报500 的错
  • 设计模式的艺术读书笔记
  • 前端热门面试题目(六)
  • Elasticsearch使用(2):docker安装es、基础操作、mapping映射
  • MTK关于 Camera Otp
  • 快速了解什么是WELL认证?
  • Kotlin设计模式之抽象工厂模式
  • Linux C/C++如何处理两个静态库相互依赖的问题
  • Vulkan 开发(十二):Vulkan 渲染通道
  • 3D 生成重建026-Wonder3D单视图3d生成
  • 2024.12.6——攻防世界PHP2
  • 2024年11月中国及周边部分亚洲国家干旱情况的监测报告
  • Linux下redis环境的搭建
  • pushgateway HA高可用方案
  • YOLOv8实战道路裂缝缺陷识别
  • 唯一索引、普通索引的使用场景
  • “Flash闪存”基础 介绍及 雷龙电子“CSNP32GCR01-AOW”产品的测试
  • 【Linux】基础IO-----文件详解
  • NeurIPS Spotlight|从分类到生成:无训练的可控扩散生成
  • WiFi近源攻击实战(精)