首页 > 代码库 > 【sql注入】简单实现二次注入
【sql注入】简单实现二次注入
【sql注入】简单实现二次注入
本文转自:i春秋社区
测试代码1:内容详情页面
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | <?php include ( ‘./connect.php‘ ); //引入数据库配置文件 $id = $_GET [ ‘id‘ ]; $select_sql = "SELECT * FROM article WHERE title=‘$id‘" ; echo $select_sql ; mysql_query( ‘set names utf8‘ ); $select_sql_result =mysql_query( $select_sql ); $date =mysql_fetch_assoc( $select_sql_result ); ?> <!DOCTYPE html> <html> <head> <meta charset= "utf-8" > <title><?php echo $date [ ‘title‘ ]. "啦啦啦啦啦啦" ?></title> </head> <body> <h1><?php echo $date [ ‘title‘ ] ?></h1><br /> 作者:<?php echo $date [ ‘author‘ ] ?><br/> 时间:<?php echo date ( "Y-m-d H:i:s" , $date [ ‘dateline‘ ])?><br /> 概述: <?php echo $date [ ‘description‘ ]; ?><br /> 正文: <?php echo $date [ ‘content‘ ] ?> </body> </html> |
测试代码2:内容添加页面
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 | <?php include ( ‘../connect.php‘ ); $title = addslashes ( $_POST [ ‘title‘ ]); //addslashes 将预定义字符串转义 $author = addslashes ( $_POST [ ‘author‘ ]); $description = addslashes ( $_POST [ ‘description‘ ]); $content = addslashes ( $_POST [ ‘content‘ ]); $dataline =time(); $insert = "INSERT INTO article(title,author,description,content,dateline) VALUES(‘$title‘,‘$author‘,‘$description‘,‘$content‘,‘$dataline‘)" ; echo $insert ; mysql_query( "set names utf8" ); //设置编码 if ( $result =mysql_query( $insert )){ $num =mysql_affected_rows( $con ); echo $num ; } ?> |
首先我们简单分析分析一下这两段代码。
测试代码1是一个内容显示页面,通过传入的title在数据库进行查询,然后在页面调用输出,我们可以看到传递的参数id并没有经过过滤,可以成为一个典型的字符串GET注入,但是我们今天要讨论的是二次注入,暂时不考虑这个注入。
测试代码2是一个添加页面,通过表单POST的数据执行INSERT语句插入数据,成功后返回数据库影响行数,而且这里的每一个参数都用addslashes函数进行了转义。
两段代码结合,我们可以发现一个典型的二次注入点,虽然文章添加页面中过滤的非常严格,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,再配合内容显示页面中的查询是通过title查询的,所以我们就可以利用这个构造一个二次注入。
首先我们插入一条注入语句
可以看到我们的单引号已经被转义,但是最后返回了一条“1”,证明我们的数据插入成功了,我们去数据库看一下
可以看到 转义用的“\”并没有插入数据库,但是我们的单引号还是成功插入了。我们来的主页面。
看到了我们刚插入的数据,注意左下角的链接,可以看到ID的参数就是我们的注入语句。打开连接
发现成功返回了 user() database()。
简单分析一下,当我们打开连接
http://127.0.0.1/CMS/article.show.php?id=1111‘union%20select%20null,null,null,user(),database(),null‘
URL中的ID被我们测试代码1中 $id=$_GET[‘id‘]; 所获取并带入了sql语句查询,最终执行的SQL语句为
SELECT * FROM article WHERE title=‘1111‘union select null,null,null,user(),database(),null‘‘
------------------------------------------------------------
修复的方法:最基本的就是在执行INSERT前判断转义后的字符是否存在“\‘”如果存在就不执行INSERT。
其次在$id=GET[‘id‘]获取参数时,进行过滤例如$id=addslashes($_GET[‘id‘]),这样在获取到的参数中也会被转义无法执行
本文来源:http://bbs.ichunqiu.com/thread-11561-1-1.html
【sql注入】简单实现二次注入