本文主要介绍了网络二次注入攻击原理的实例分析。很详细,有一定的参考价值。感兴趣的朋友一定要看完!
00-1010二次注入攻击测试地址:http://127 . 0 . 0 . 1/sqli/double 1 . PHP?Username=test和http://127 . 0 . 0 . 1/sqli/double 2 . PHP?id=1 .其中,double1.php页面的功能是注册用户名,也是插入SQL语句的地方。double2.php页面的功能是通过参数ID读取用户名和用户信息。
第一步是去double1.php?Username=test ',如图40所示。
图40注册用户名测试
从页面返回的结果中,可以看到用户名测试的ID为‘9’,可以访问double2.PHP?Id=9,结果如图41所示。
图40访问测试信息
从返回结果中,我们可以看到服务器返回了MySQL错误(多了一个单引号导致的语法错误)。然后,回到第一步,先参观double1.php。用户名=test' order by 1 -,获得新id=10,何时再次访问double2.php?当id=10时,页面返回空白;再试一次,去double1.php?再次访问double2.php时,用户名=test' order by 10 -,获得新id=11?当id=11时,页面返回一条错误消息(order子句中的未知列“10”),如图42所示。
图42按10访问订单的结果
这说明空白页正常返回,通过不断尝试,笔者判断数据库中有三个字段。
参观double1.php?Username=test' union select1,2,3-,获取一个新的id=12,然后访问double2.php?Id=12,发现页面返回union select中的1和2字段,结果如图43所示。
图43使用Union语句的结果
在2或3的位置,插入我们的声明,如访问double1.php?Username=test' union select1,user(),3-,获取一个新的id=13,然后访问double2.php?Id=13,得到user()的结果,如图44所示,使用这个方法可以得到数据库中的数据。
图44二次注入数据采集
00-1010二次注入中double1.php页面的代码如下,实现了简单的用户注册功能。程序获取get参数username的参数密码,然后将用户名和密码拼接成SQL语句,用insert语句插入数据库。这里没有SQL注入漏洞,因为参数username使用addslashes来转义(转义了单引号,这使得无法关闭单引号),并且参数password具有MD5哈希。
?phpheader(' Content-type : text/html;charset=utf-8 ');
$ con=MySQL _ connect(' localhost ',' root ',' root ',' test ');
if(MySQL _ connect _ errno())
{
回应“连接失败:”。myqli _ connect _ error();
}
$ username=@ $ _ GET[' username '];
$passwordnbs
p;= @$_GET['password'];
$result = mysqli_query($con,"insert into users(`username`,`password`) values ('".addslashes($username)."','".md5($password)."')");
echo "新的id为:".mysqli_insert_id($con);
?>
当访问username=test'&password=123456时,执行的SQL语句为:
insert into users(`username`,`password`) values ('test\'','e10adc3949ba59abbe56e057f20f883e')
从图45中的数据库里可以看到,插入的用户是test'。
图45 插入到数据库中的数据
在二次注入中double2.php中的代码如下所示。首先将GET参数ID转换成int类型(防止拼接到SQL语句时,存在SQL注入漏洞),然后到users表中获取ID对应的username,接着到person表中查询username对应的数据。
<?php header('Content-type:text/html;charset=utf-8'); $con=mysqli_connect("localhost","root","root","test"); if (mysqli_connect_errno()) { echo "连接失败: " . mysqli_connect_error(); } $id = intval(@$_GET['id']); $result = mysqli_query($con,"select * from users where `id`=".$id); $row = mysqli_fetch_array($result); $username = $row['username']; $result2 = mysqli_query($con,"select * from person where `username`='".$username."'"); if (!$result2) { echo mysqli_error($con); exit(); } if($row2 = mysqli_fetch_array($result2)) { echo $row2['username'] . " : " . $row2['money']; } else { echo mysqli_error($con); } ?>
但是此处没有对$username进行转义,在第一步中我们注册的用户名是test',此时执行的SQL语句为:
select * from users where `username`='test''
单引号被带入SQL语句中,由于多了一个单引号,所以页面会报错。
以上是“Web中二次注入攻击原理的示例分析”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注行业资讯频道!
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/75522.html