首页 / PHP / php代码审计学习之dvwa_sql,php审计dvwa_sql_PHP教程

php代码审计学习之dvwa_sql,php审计dvwa_sql_PHP教程

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php代码审计学习之dvwa_sql,php审计dvwa_sql_PHP教程,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含3180字,纯文字阅读大概需要5分钟

内容图文

php代码审计学习之dvwa_sql,php审计dvwa_sql

0x00

  由于转了onenote行列,所以已经好久没有发表新的随笔了,但是想想还是非常有必要的,这几天开始学习php代码审计,所以先开始发这一些的随笔吧!

  首先就先通过十大测试平台dvwa开始学习吧,先在这里带上参考的大牛链接,感谢分享

  1.http://drops.wooyun.org/papers/483

  2.http://www.lxway.com/86980986.htm is_numeric 函数绕过

  3.http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html 字符编码绕过 宽字节注入

0x01

  这里先带入最简单low级别的php代码

  

  $id = $_GET['id'];//未作任何过滤,防注入处理
    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
    $result = mysql_query($getid) or die('
' . mysql_error() . '
' );

  看到这里我们可以知道这段代码其实id没有进行处理,导致sql注入漏洞,ok,各种注入都可以,在这里就不再详叙了!

0x02

  medium级别,代码:

  $id=$_GET['id'];
  $id=mysql_real_escape_string($id);//这里对id进行了转义的操作
  $getid="SELECTfirst_name,last_nameFROMusersWHEREuser_id=$id";

  mysql_real_escape_string 函数对id参数进行了转义操作,具体常见的转义包括

  • ' => \'
  • " => \"
  • \ => \\
  • \n => \\n

  这里我想应该有2张方法来绕过这个处理:

  1.数值型注入

    由于这个函数主要针对的是字符型特殊字符的处理,这样我们可以不使用特殊字符来进行注入,即数值注入

  

  构造:1 untion select user,password from users

    由此可以获得users表中的账号密码,当然你会说要是是不知道具体表名列名改怎么办?ok,我们可以尝试使用union bool注入

  构造:1+union+select+1,(select+case+when+char(72)=(select mid(table_name,0,1) from information_schema.tables limit 0,1)+then+2+end)

    其中char()中的数值需要变换以及limit,这样子可能会比较花时间,我们可以写个python脚本(ps:先占个坑),其实用延时注入也同样可以实现这样的效果

  2.宽字节注入

  mysql_real_escape_string 对参数进行转义的方法就是添加一个‘\’,它的url编码就是%5c ,这样我们在参数中添加%df%5c%27 ,其中%df%5c为合法的gbk字符

  那么经过该函数一处理,可以发现会变成%df%5c%5c%27 ,这样子%df%5c会吞掉一个%5c 变成 一个gbk字符+ \\\'

  mysql的转义符也是'\' 相当于注入了一个单引号

  构造:1%df%5c%27%20||1+--+

  同样的addslashes函数也存在同样的问题,具体参考文章开始的链接

0x02

  high级别的php代码

$id=$_GET['id'];
$id=stripslashes($id);//剔除参数中的斜杠
$id=mysql_real_escape_string($id);//对id中的特殊字符进行转义
if(is_numeric($id)){//判断是否是数值或数值字符串
    ...

  好吧,这样一来,我觉得还是变得很安全了,前面2个函数对字符型的注入进行了处理,紧接着is_numeric函数则对数值型注入进行了处理。

  然而这样子仍然可以造成sql注入,不过是二次注入,且限制的条件也比较苛刻但是仍有机会造成注入

  比如执行sql语句

  

  insert into test(type) values($s);

  此时传入的字符串$s=0x31206f722031

  这样看可以知道这是一个16进制数,可以通过该函数的检测,然后对16进制解码我们可以发现$s其实实际的值为 1 or 1

  那么这样操作数据库里会变成什么样子

  php代码审计学习之dvwa_sql,php审计dvwa_sql_PHP教程 - 文章图片

  可以看到数据库将这串16进制数进行了转码变成了1 or 1 那么到时候进行数据库取值然后不经处理带入到另一个sql语句中就会造成二次注入.所以我们在写代码的时候不能盲目的信任数据库里的数据,在取出数据时仍需要进行检测。

0x03

  sql部分的代码就分析到这里,如有不正确的地方,欢迎拍砖!

  下篇准备sql blind :)

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/1063513.htmlTechArticlephp代码审计学习之dvwa_sql,php审计dvwa_sql 0x00 由于转了onenote行列,所以已经好久没有发表新的随笔了,但是想想还是非常有必要的,这几天...

内容总结

以上是互联网集市为您收集整理的php代码审计学习之dvwa_sql,php审计dvwa_sql_PHP教程全部内容,希望文章能够帮你解决php代码审计学习之dvwa_sql,php审计dvwa_sql_PHP教程所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接:https://qyyshop.com/info/188697.html

来源:【匿名】