【sql注入】简单实现二次注入
【sql注入】简单实现二次注入
本文转自:i春秋社区
测试代码1:内容详情页面
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
<?php include ( './connect.php' ); //引入数据库配置文件 $id = $_GET [ 'id' ]; $select_sql = "SELECT * FROM article WHERE title='$id'" ; echo $select_sql ; mysql_query( 'set names utf8' ); $select_sql_result =mysql_query( $select_sql ); $date =mysql_fetch_assoc( $select_sql_result ); ?> <!DOCTYPE html> <html> <head> <meta charset= "utf-8" > <title><?php echo $date [ 'title' ]. "啦啦啦啦啦啦" ?></title> </head> <body> <h1><?php echo $date [ 'title' ] ?></h1><br /> 作者:<?php echo $date [ 'author' ] ?><br/> 时间:<?php echo date ( "Y-m-d H:i:s" , $date [ 'dateline' ])?><br /> 概述: <?php echo $date [ 'description' ]; ?><br /> 正文: <?php echo $date [ 'content' ] ?> </body> </html> |
测试代码2:内容添加页面
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
|
<?php include ( '../connect.php' ); $title = addslashes ( $_POST [ 'title' ]); //addslashes 将预定义字符串转义 $author = addslashes ( $_POST [ 'author' ]); $description = addslashes ( $_POST [ 'description' ]); $content = addslashes ( $_POST [ 'content' ]); $dataline =time(); $insert = "INSERT INTO article(title,author,description,content,dateline) VALUES('$title','$author','$description','$content','$dataline')" ; echo $insert ; mysql_query( "set names utf8" ); //设置编码 if ( $result =mysql_query( $insert )){ $num =mysql_affected_rows( $con ); echo $num ; } ?> |
首先我们简单分析分析一下这两段代码。
测试代码1是一个内容显示页面,通过传入的title在数据库进行查询,然后在页面调用输出,我们可以看到传递的参数id并没有经过过滤,可以成为一个典型的字符串GET注入,但是我们今天要讨论的是二次注入,暂时不考虑这个注入。
测试代码2是一个添加页面,通过表单POST的数据执行INSERT语句插入数据,成功后返回数据库影响行数,而且这里的每一个参数都用addslashes函数进行了转义。
两段代码结合,我们可以发现一个典型的二次注入点,虽然文章添加页面中过滤的非常严格,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,再配合内容显示页面中的查询是通过title查询的,所以我们就可以利用这个构造一个二次注入。
首先我们插入一条注入语句
可以看到我们的单引号已经被转义,但是最后返回了一条“1”,证明我们的数据插入成功了,我们去数据库看一下
可以看到 转义用的“\”并没有插入数据库,但是我们的单引号还是成功插入了。我们来的主页面。
看到了我们刚插入的数据,注意左下角的链接,可以看到ID的参数就是我们的注入语句。打开连接
发现成功返回了 user() database()。
简单分析一下,当我们打开连接
http://127.0.0.1/CMS/article.show.php?id=1111'union%20select%20null,null,null,user(),database(),null'
URL中的ID被我们测试代码1中 $id=$_GET['id']; 所获取并带入了sql语句查询,最终执行的SQL语句为
SELECT * FROM article WHERE title='1111'union select null,null,null,user(),database(),null''
------------------------------------------------------------
修复的方法:最基本的就是在执行INSERT前判断转义后的字符是否存在“\'”如果存在就不执行INSERT。
其次在$id=GET['id']获取参数时,进行过滤例如$id=addslashes($_GET['id']),这样在获取到的参数中也会被转义无法执行
本文来源:http://bbs.ichunqiu.com/thread-11561-1-1.html
【sql注入】简单实现二次注入的更多相关文章
- Sql 注入详解:宽字节注入+二次注入
sql注入漏洞 原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了. 攻击方式: (1) 权限较大时,直接写入webshel ...
- Java开发学习(六)----DI依赖注入之setter及构造器注入解析
一.DI依赖注入 首先来介绍下Spring中有哪些注入方式? 我们先来思考 向一个类中传递数据的方式有几种? 普通方法(set方法) 构造方法 依赖注入描述了在容器中建立bean与bean之间的依赖关 ...
- 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入
0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.二次注入也是 ...
- sql注入时易被忽略的语法技巧以及二次注入
那些容易被忽略.容易被弄错的地方 sql注入时的技巧 ========================================================================= ...
- SQL注入简单介绍
一.SQL注入概念 1.sql注入是一种将sql代码添加到输入参数中 2.传递到sql服务器解析并执行的一种攻击手法 举例:某个网站的用户名为name=‘admin’.执行时为select ...
- SQL注入学习(二)
SQL注入点判断 ?id=35 +1/-1 查看页面是否发生变化 select * from tbName where id=$id 1.?id=35'数字后面加上[' or '' or )]来判断 ...
- [转]sql二次注入
01 二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入.防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据 ...
- COMMENT SQL二次注入
这题目太顶了进去随便发个贴,出现登录已经提示用户名和密码了,弱密码登录(得自己去爆破)zhangwei666即可 没啥思路,扫下目录试试,kali的dirb扫到.git泄露githacker得到源码看 ...
- [网鼎杯 2018]Comment-1|SQL注入|二次注入
1.打开之后只有一个留言页面,很自然的就想到了二次注入得问题,顺带查看了下源代码信息,并没有什么提示,显示界面如下: 2.那先扫描一下目录,同时随便留言一个测试以下,但是显示需要登录,账户.密码给出了 ...
随机推荐
- mysql 索引及索引创建原则
是什么 索引用于快速的查询某些特殊列的某些行.如果没有索引, MySQL 必须从第一行开始,然后通过搜索整个表来查询有关的行.表越大,查询的成本越大.如果表有了索引的话,那么 MySQL 可以很快的确 ...
- JS的深浅拷贝
项目中根据各种需求或多或少会需要用到拷贝,通过查询整理之后今天简单的记录一下. 我们可以利用 slice.concat 返回一个新数组的特性可以实现数组的拷贝. var arr = ['a', 1, ...
- go语言基本语法
一个例子总结go语言基本语法 demo.go package main import ( "fmt" ) //结构体 type PersonD struct ...
- java.sql.SQLException: Field 'id' doesn't have a default value
1:id 列要设置成自增,自动赋值 java.sql.SQLException: Field 'id' doesn't have a default value at com.mysql.jdbc.S ...
- Python中的 __name__有什么作用?最详细解读
案例说明: Python中的模块(.py文件)在创建之初会自动加载一些内建变量,__name__就是其中之一.Python模块中通常会定义很多变量和函数,这些变量和函数相当于模块中的一个功能,模块被导 ...
- mysql8.0 1251错误
ALTER USER 'root'@'localhost' IDENTIFIED BY 'password' PASSWORD EXPIRE NEVER; ALTER USER '; FLUSH PR ...
- web端常见测试点
由于web端应用于用户直接相关,又通常需要承受长时间的大量操作,因此web项目的功能和性能都必须经过可靠的验证.web端测试常见的有界面测试.功能测试.性能测试.可用性(接口)测试.兼容性测试.安全性 ...
- python学习基础总结
看了一篇python基础的博客 感觉写的很好,总结的很到位,原地址为 http://blog.csdn.net/iloveyin/article/details/38754231 ****** ...
- Player2.0
由于上次做的播放器实在是有点丑,加之这期间学习了许多关于页面排版的东西,这次做第二次作业就重新来了一遍“换汤不换药”的操作.其实刚开始看到的作业要求的时候,有点傻眼猫咪,但是做到现在这个程度,本人也是 ...
- MySQL远程连接失败(错误码:2003)
一 环境信息 服务器系统:Ubuntu 18.04 服务器MySQL版本:14.14 Distrib 5.7.25 本地系统:Kali Linux 本地客户端:python3交互模式 本地开发环境:p ...