概述
本文记录代码审计的学习过程。
教程为《代码审计-企业级Web代码安全架构》,练习靶场为DVWA、Sqli-labs-master和Bugku。
目录
一、挖掘
1. 普通注入
2. 编码注入
二、防范
1. 开启gpc/rutime魔术引号
2. 过滤函数和类
3. PDO prepare 预编译
4. 关键字过滤
SQL注入漏洞是我们知道的最多的漏洞,原理是由于开发者在编写操作数据库代码时,直接将外部可控的参数拼接到SQL语句中,没有经过任何过滤就直接放入数据库引擎执行。
SQL注入是直接对数据库进行攻击的,通常利用SQL注入攻击方式有下面几种:一是在权限比较大的情况下,通过SQL注入可以直接写入webshell,或者执行系统命令等;二是在权限较小的情况下,可以通过注入来获得管理员的密码等信息,或者修改数据库内容进行一些钓鱼或者其他间接利用。
一、挖掘
1. 普通注入
DVWA源代码:
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Display values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]); DVWA 中用到的防御函数:
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
下列字符受影响:
x00
n
r
'
"
x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
语法:
mysql_real_escape_string(string,connection)2. 编码注入
(1)宽字节注入
sqli-labs源代码:
function check_addslashes($string)
{
$string= addslashes($string);
return $string;
}
// take the variables
if(isset($_GET['id']))
{
$id=check_addslashes($_GET['id']);
//echo "The filtered request is :" .$id . "<br>";
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."n");
fclose($fp);
// connectivity
mysql_query("SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo '<font color= "#00FF00">';
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}sqli-labs 中用到的防御函数:
addslashes() 对字符串进行反斜杠转义。
[GET] 此时,我们可以用宽字节注入,注入参数中带入%df%27,把程序中过滤的(%5c)吃掉。
使之在MySQL中运行的SQL语句为:
select * from user where username = '運' and 1=1#'Payload:
[POST] 此时,我们可以将utf-8转换为utf-16或 utf-32,例如将 ' 转为utf-16为 �'。
Payload:
宽字节注入防御手段:
1) 在执行查询之前先执行set names 'gbk',character_set_client=binary设置字符集
2) 使用mysql_set_charset('gbk')设置编码,然后使用mysql_real_escape_string()过滤
3) 使用pdo方式,在php5.3.6及以下版本需要设置setAttribute(PDO:ATTR_EMULATE_PREPARES,false); 来禁用prepare statement的仿真效果
(2)二次urldecode注入
bugku源代码:
if(eregi("hackerDJ",$_GET[id])) {
echo("not allowed!");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "Access granted!";
echo "flag";
}本题中用到的函数:
urldecode(),易导致二次编码生成单引号而引发注入。
Payload:
使用小葵二次url编码即可,只选一个字母即可。
二、防范
1. 开启gpc/rutime魔术引号
通常数据污染有两种方式:
一是应用被动接收参数,类似于GET、POST等;
二是主动获取参数,类似于读取远程页面或者文件内容等。
所以防止SQL注入的方法就是要守住这两条路。
在本书第1章第3节介绍了PHP的核心配置,里面详细介绍了GPC等魔术引号配置的方法:
magic_quotes_gpc()负责对GET、POST、COOKIE的值进行过滤;
magic_quotes_runtime()对从数据库或者文件中获取的数据进行过滤。
通常在开启这两个选项之后能防住部分SQL注入漏洞被利用。
为什么说是部分呢?
因为它们只对单引号(')、双引号(")、反斜杠()及空字符NULL进行过滤,在int型的注入上是没有多大作用的。
PHP4.2.3以及之前的版本可以在任何地方设置开启,即配置文件和代码中,之后的版本可以在 php.ini、httpd.conf 以及.htaccess中开启。
2. 过滤函数和类
几个常见的:
addslashes()
mysql_real_escape_string()
intval()
3. PDO prepare 预编译
如果之前了解过.NET的SqlParameter或者java里面的prepareStatement,那么就很容易能够理解PHP pdo的prepare,它们三个的作用是一样的,都是通过预编译的方式来处理数据库查询。
我们先来看一段代码:
dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->exec("set names 'gbk'");
$sql = "select * from test where name=? and password=?"
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($name, $pass));上面这段代码虽然使用了pdo的prepare方式来处理sql查询,但是当PHP版本<5.3.6之前还是存在宽字节SQL注人漏洞,原因在于这样的查询方式是使用了PHP本地模拟prepare,再把完整的SQL语句发送给MySQL服务器,并且有使用set names 'gbk'语句,所以会有PHP和MySQL编码不一致的原因导致SQL注人,正确的写法应该是使用ATTR_ EMULATE_ PREPARES来禁用PHP本地模拟prepare,代码如下:
dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbh->exec("set names 'utf8'");
$sql = "select * from test where name=? and password=?"
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($name, $pass));
4. 关键字过滤
bugku中一道题的源代码:
//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update',
'sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
if (substr_count($id, $value) > 0)
{
exit('包含敏感关键字!'.$value);
}
}
//xss过滤
$id = strip_tags($id);
$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";
本题中用到的函数:
strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。
那么我们可以利用这点,在union等敏感字中间加上 <a><br>等标签。
Payload:
http://103.238.227.13:10087/?id=-1 u<a>nion selec<a>t 1,hash fro<a>m .key
最后
以上就是专注背包为你收集整理的漏洞挖掘与防范(基础篇)SQL注入漏洞的全部内容,希望文章能够帮你解决漏洞挖掘与防范(基础篇)SQL注入漏洞所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复