0x00 背景

SQL注入是一种常见Web漏洞,所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。本文以代码审计的形式研究SQL注入原理、挖掘形式、防御方案及缺陷。

0x01 SQL注入产生原理

SQL注入与其他常见Web漏洞一样,均是由外部可控的参数引起的。由于程序没有经过任何过滤就将外部可控的参数拼接进入SQL语句,直接放入数据库执行,达到了欺骗服务器执行黑客恶意SQL命令的目的。在这里我们采用DVWA中low级别的源码学习SQL注入的产生原理。

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];     // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );     // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];         // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }     mysqli_close($GLOBALS["___mysqli_ston"]);
} ?> 

  在这里我们注意到变量id是由用户进行掌控的变量,用户所输入的id值并没有进行任何的过滤,直接拼接到SQL语句中执行,我们重点关注这条SQL语句:

$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

  此处,如果我们所输入的变量id为1' or 1=1 or '1,那么此条SQL语句就变为了:

$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' or 1=1 or '1';";

  这样,数据库就会根据上面这条语句执行操作,这就是SQL注入漏洞的产生原理。

0x02 SQL注入的挖掘形式

SQL注入往往出现在用户登陆、信息查询等页面,通常在HTTP头中会出现漏洞,例如Cookie值、用于获取用户IP的client-ip中,在代码审计中我们需要着重关注这几个模块。

普通注入

普通形式的SQL注入例如上文中提到的,直接通过联合查询就可以对数据库进行操作,这种注入形式往往容易被扫描器检测出来,在这里不过多进行讲解。在代码审计中,我们只需要关注一些关键字,例如select from、mysql_connect、mysql_query、update、delete、insert等即可。

编码注入

编码注入包括宽字节注入、URLdecode注入等,利用程序的编码规则缺陷,输入与转码函数不兼容的特殊字符,导致输入的字符拼接成为了恶意的SQL语句。

1.宽字节注入

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围),当PHP连接MySQL的时候,设置了“set_character_set_client=gkb”时,往往就会产生宽字节注入。

例如以下程序:

<?php
//连接数据库部分,注意使用了gbk编码,把数据库信息填写进去
$conn = mysql_connect('localhost', 'root', 'toor!@#$') or die('bad!');
mysql_query("SET NAMES 'gbk'");
mysql_select_db('test', $conn) OR emMsg("连接数据库失败,未找到您填写的数据库");
//执行sql语句
$id = isset($_GET['id']) ? addslashes($_GET['id']) : 1;
$sql = "SELECT * FROM news WHERE tid='{$id}'";
$result = mysql_query($sql, $conn) or die(mysql_error()); //sql出错会报错,方便观察
?> <html>
<head>
<meta charset="gbk" />
<title>新闻</title>
</head>
<body>
<?php
$row = mysql_fetch_array($result, MYSQL_ASSOC);
echo "<h2>{$row['title']}</h2><p>{$row['content']}<p>\n";
mysql_free_result($result);
?>
</body>
</html> 

以上程序中,sql语句是SELECT * FROM news WHERE tid='{$id}。参数id存在宽字节注入漏洞,程序采用addslashes函数,将$id的值转义。addslashes函数产生的效果就是,让“ ’ ”变成“ \’ ”,对此我们要想进行注入需要绕过“\”。

我们提交/test.php?id=-1' and 1=1#时,数据库执行的操作是select * from news where id = '1\' #,显然这里无法进行注入,但是我们提交/test.php?id=-1 %df ' and 1=1#时,数据库执行的操作就变成了select * from user where id = '1運' and 1=1 #。这样我们就可以实现SQL注入了。

这是因为单引号被addslashes转义成为\',我们提交的%df与\(url编码为%5c)组合成为了%df%5c,也就是gbk编码中的“運”字,组合之后被转义的“ \' ”中的“ ‘ ”还存在,成功闭合了之前的单引号。

挖掘这类的SQL注入漏洞只需要搜索关键词,确认是否采用了gbk编码即可,关键词主要有以下三种:

character_set_client=gkb

mysql_set_charset('gbk')

SET NAMES 'gbk'     //这条语句等同于如下代码:

SET
character_set_connect='gbk',
character_set_results='gbk',
character_set_client=gbk;

宽字节注入除了上述方法外,有时为了避免乱码,程序员使用iconv()函数将GBK编码转换为utf-8编码,例如:

mysql_query(“set names UTF-8”) ;
$bar =iconv(“GBK”,”UTF-8”, addslashes($_GET[‘’bar])) ;

例如我们提交http://127.0.0.1/test.php?id=1%e5%5c%27,%e5%5c%27经过addslashes()变为%e5%5c%5c%5c%27,再经过iconv()变为%e9%8c%a6%5c%5c%27,这样我们所提交的请求多了一个%5c,反斜杠本身被转义,单引号(%27)生效。

2.URLdecode注入

现在绝大多数基于PHP的Web程序都会使用addslashes()等过滤函数对用户提交的变量等进行过滤,如果某处采用了urldecode()函数进行了url解码,那么将会大概率的导致URLdecode注入,例如以下代码:

<?php
$a=addslashes($_GET['c']);
$b=urldecode($a);
echo '$a='.$a;
echo '$b='.$b;
?>

我们在地址栏提交/test.php?c=1%2527时,得到的结果是$a=1%27  $b=1'

这是因为%25的解码结果为“ % ”,与后面的27拼接得到%27,也就是单引号,因此产生了注入。

所以在代码审计中挖掘urldecode注入时,只需要搜过两个关键函数即可:

urldecode

rawurldecode

0x03 防御方案及缺陷

黑名单过滤

黑名单过滤是一种原始的、低效甚至无效的过滤手段,将关键字select等只使用replace()函数置换为空,企图达到阻止SQL注入的发生。

这种防御方案的缺陷非常明显,我们只需要将关键字双向,例如seleselectct(过滤掉中间完整的select之后剩余内容仍是select),也可以大小写绕过的方式,例如SeLeCt(数据库大小写不敏感),以此绕过  防御实现sql注入。

魔术引号

在PHP4.2.3以上版本,可以开启魔法引号自动过滤

magic_quotes_gpc开启后,会在GET、POST、COOKIE中的单引号、双引号、反斜杠、空字符的前面加上反斜杠( \ ),但在PHP5中对$_SERVER变量停止了过滤,导致client-ip等容易被利用。

magic_qutoes_runtime开启后,与GPC的过滤方案一致,区别是它对数据库和数据文件进行过滤,而非GET、POST、COOKIE值。

在PHP5.4中,魔术引号被取消。

过滤函数

1.addslashes

addslashes是当前常见的一种过滤方式,过滤的内容和范围与GPC一致,不过该函数的参数必须是string型。例如:

<?php
$str=" 1' ";
echo addslashes($str);
?>

得到的结果是1\‘。

2.mysql_escape_string

在PHP4.0.3以上版本中引入了mysql_escape_string函数和mysql_real_escape_string函数,这两个函数也是对字符串进行过滤,受函数影响的字符包括单引号、双引号、\、\n、\r等。例如:

<?php
$con = mysql_connect("localhost","root","password");
$id = mysql_real_escape_string($_GET['id'],$con);
echo `select * from table where id = ' ".$id." '`;
?>

当用户发出请求/test.php?id=1'时,数据库做以下处理:select * from test where id = '1\"。

PDO预编译

PDO prepare预编译类似于Java中的preparestatement,采用预编译的形式处理数据库查询。

<?php
$dbms='mysql'; //数据库类型
$host='localhost'; //数据库主机名
$dbName='test'; //使用的数据库
$user='root'; //数据库连接用户名
$pass='pass'; //对应的密码
$dsn="$dbms:host=$host;dbname=$dbName";
$dsn -> exec("SET NAME 'gbk'");
$sql = "select * from table where user=? and pass=?";
$pstmt = $dbh -> prepare($sql);
$exeres = $pstmt -> excute (array($user,$pass));

  以上代码虽然采用了PDO进行预编译,但是再PHP5.3.6之前仍然会存在宽字节注入漏洞,因为这样查询是PHP本地模拟prepare,然后再把完整的sql语句发送给数据库,php与MySQL编码不一致导致宽字节注入漏洞的产生,所以我们需要禁止本地模拟prepare,在上述代码中加入一行即可:

$dsn -> setAttribute(PDO::ATTER_EMULATE_PREPARES, flase);

  

iconv

代码审计中的SQL注入的更多相关文章

  1. 在php中防止SQL注入的方法

    摘要:我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全.整个PH ...

  2. Python中防止sql注入的方法详解

    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库.下面这篇文章主要给大家介绍了关于Python中 ...

  3. php代码审计3审计sql注入漏洞

    SQL注入攻击(sql injection)被广泛用于非法获取网站控制权,在设计程序时,忽略或过度任性用户的输入,从而使数据库受到攻击,可能导致数据被窃取,更改,删除以及导致服务器被嵌入后门程序等 s ...

  4. Django中的sql注入

    Django中防止SQL注入的方法 方案一总是使用Django自带的数据库API.它会根据你所使用的数据库服务器(例如PostSQL或者MySQL)的转换规则,自动转义特殊的SQL参数.这被运用到了整 ...

  5. php代码审计--sql注入

    sql注入是web安全中最常见,也是平常中危害最大的漏洞. 最近在学习代码审计,拿自己审核的一段代码做个笔记. 1.sql语句拼接可能引起sql注入 很多偷懒的程序员对于没有过滤的参数,直接将其拼接到 ...

  6. Java代码审计连载之—SQL注入

    前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT.想当初入门代码审计的时候真是非常难,网上几乎找不到什么java ...

  7. 2020/1/27代码审计学习之SQL注入漏洞

    PHP代码审计SQL注入漏洞 0x00 首先明确什么是SQL注入,SQL语句必须掌握. 常见的注入总的来说可以分为两大类:数字型和字符型. 这两类中包含了诸如报错注入,宽字节注入,盲注,二次注入,co ...

  8. php中防止SQL注入的方法

    [一.在服务器端配置] 安全,PHP代码编写是一方面,PHP的配置更是非常关键. 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最 ...

  9. 转:PHP中防止SQL注入的方法

    [一.在服务器端配置] 安全,PHP代码编写是一方面,PHP的配置更是非常关键. 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最 ...

随机推荐

  1. 自己组装一台1U服务器

    视频资料链接 自己组装一台1U服务器 执行思路: 1.评估访问了,根据需求确定服务器要求 2.根据要求选择硬件:冗余.稳定等 3.搜索主流服务器参数进行对比,及对比价格 4.咨询IDC机房价格 DIY ...

  2. Maven:Eclipse导入从SVN上检出的Maven多模块工程

    大致步骤: 1.从SVN中检出多模块项目,名称随意(Eclipse中可以在[Window ==>>Show View==>>Other==>>SVN==>&g ...

  3. hdu2457(最少替换多少个字符使主串不包含模式串)ac自动机+dp

    题:http://acm.hdu.edu.cn/showproblem.php?pid=2457 题意:给定n个模式串,给定一个主串,问最替换掉多少个字符使主串不包含模式串或输出“-1”表示没有可行的 ...

  4. Linux(CENTOS7) Nginx安装

    1.下载nginx  在disk目录下,输入以下命令进行下载: wget http://nginx.org/download/nginx-1.12.2.tar.gz 2.解压nginx 在disk目录 ...

  5. Linux下常用的3种软件安装方式—rpm、yum、tar

    一:Linux源码安装    1.解压源码包文件    源码包通常会使用tar工具归档然后使用gunzip或bzip2进行压缩,后缀格式会分别为.tar.gz与.tar.bz2,分别的解压方式:   ...

  6. Lambder笔记

    记录Lambda语法(λ ,匿名函数)以及三个Python常见内置函数 形如:y=f(x)=x*x 使用lambda语法将对一个变量的运算抽象出来,如同f(),或是数学中的函数.关系.映射 f = l ...

  7. 106.HttpResponse对象详解

    HttpResponse对象 Django服务器接收到客户端发送过来的请求之后,会将提交上来的这些数据封装成一个HttpResquest对象传给视图函数.那么视图函数在处理完成相关的逻辑后,也需要返回 ...

  8. 201312-1 出现次数最多的数Java

    import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Scanner; ...

  9. 理解自动梯度计算autograd

    理解自动求导 例子 def f(x): a = x * x b = x * a c = a + b return c 基于图理解 代码实现 def df(x): # forward pass a = ...

  10. 吴裕雄--天生自然Linux操作系统:Linux 忘记密码解决方法

    忘记Linux系统的root密码,linux系统忘记root密码的情况该怎么办呢?重新安装系统吗?当然不用!进入单用户模式更改一下root密码即可. 步骤如下: 重启linux系统 3 秒之内要按一下 ...