🌸 连接方式
PHP + Mysql连接方式:
- Mysql(废弃)
- Mysqli
- PDO
🌸 常见过滤
intval/addslashes/mysql_real_escape
mysqli_escape_string/mysqli_real_escape_string/mysqli::escape_string
PDO::quote
参数化查询
addslashes/mysql_real_escape- 可能会导致宽字节注入(如果使用的是GBK编码)
- 寻找字符串转换函数来绕过
urldecodesimple_xml_loadstringstripshalesjson_decodeiconvbase64_decode
mysqli::escape_string / PDO::quote- 与
addslashes差别:是否会主动加引号包裹 - 宽字节注入
- 与
- 参数化查询
- 寻找非SQL值位置
SELECT `name` FROM `users` WHERE `id` = ? ORDER BY `login_time` LIMIT 1,在这个SQL语句中除了?的位置是SQL值的位置,其他的位置都不是,要找非SQL值(可控)的位置
🌸 思路总结
开发者容易遗漏的输入点:
HTTP头X-Forwarded-ForUser-AgentReferer
PHP_SELFREQUEST_URI文件名 $_FILES[][name]php://input引入单引号(转义符)的方法stirpslashesbase64_decodeurldecodesubstriconvstr_replace('0','',$sql)xmljson_encode
案例
🍂 1.php
<?php
include_once 'common.php';
try {
$name = $_GET["name"];
$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 这种写法是最简单的写法,也是最基本的SQL注入类型。漏洞原因就是将name变量直接拼接在了SQL查询语句中!
直接使用单引号进行闭合,利用报错注入,获取数据库信息。
' and updatexml(1,concat(0x7e,database()),1)%23
🍂 2.php
<?php
include_once './common.php';
try {
$name = $_GET["name"];
$name = addslashes($name);
$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该代码使用了addslashes()函数进行了相关的转义。利用php在线文档进行查询该函数:
该函数会将单引号、双引号、反斜线、NUL字节进行转义。(但是并不能防止SQL注入漏洞的出现!)在这个代码中若不考虑GBK编码的问题,是不存在SQL注入漏洞的!
出现SQL注入漏洞的情况:
宽字节注入urldecode/base64_decode/iconv等函数的出现
🍂 3.php
<?php
include_once './common.php';
try {
$name = htmlspecialchars($_GET['name']);
$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该代码中出现了新的函数:htmlspecialchars(),依然是通过php手册,查询相关的功能:
该函数的作用是将特殊字符转换为HTML实体。可以看到帮助文档中提到,设置了ENT_QUOTES后,单引号就会被转为为'... 可以看到该函数是在第二个参数重进行设置。
然而在该代码中没有第二个参数,所以说,这里是不会将单引号进行转换为HTML实体的!依然存在漏洞。
🍂 4.php
<?php
include_once './common.php';
try {
$id = addslashes($_GET['id']);
$query = "SELECT name,age,email,country FROM user_details WHERE id > $id;";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该代码中接收的参数变成了id参数,没有单引号进行包裹,所以这里的addslashes()函数也就失效了。
🍂 5.php
<?php
include_once './common.php';
try {
$name = preg_replace("/'/", "\\'", $_GET['name']);
$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该代码中使用了新的函数preg_replace(),同样是查询手册:
简单来说就是替换!只要用户输入的数据中出现了单引号,那就替换为\'。看似是实现了过滤,但是依然存在SQL注入漏洞。
原因是,当用户输入的是:\'的时候,那么就会替换为:\\',而第一个\把第二个\给转义了,使得'逃脱!
payload: Bob\%27%20and%20updatexml(1,concat(0x7e,database()),1)%23
🍂 6.php
<?php
include_once './common.php';
try {
$id = intval($_GET['id']);
$query = "SELECT name,age,email,country FROM user_details WHERE id = {$id};";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该代码采用了intval函数,将用户输入的内容转换为整数,虽然还是直接拼接了SQL语句,但是并不存在SQL注入漏洞。
用户输入:1',就会转换为1,可以理解为从第一个不是数字的地方开始,全部舍弃。
🍂 7.php
<?php
include_once './common.php';
try {
if (intval($_GET["id"])) {
$query = "SELECT name,age,email,country FROM user_details WHERE id = {$_GET['id']};";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}
}catch (PDOException $e){
echo $e->getMessage();
} 也算是比较经典的漏洞了,看似存在intval函数,但是后面拼接的时候,并不是intval()转换之后的结果,而是$_GET['id']!从而导致了SQL注入漏洞的出现。
🍂 8.php
<?php
include_once './common.php';
try {
if (!is_numeric($_GET['id'])) {
header('Status: 404 Not Found');
}
$query = "SELECT name,age,email,country FROM user_details WHERE id = {$_GET['id']};";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该版本采用了新的函数is_numeric()判断传递的参数是否是数字!如果不是数字的话,那就通过header头发送原生的http头。
但是这里存在一个很大的问题,当用户输入的不是数字的时候,虽然进入了if条件,但是并没有exit/die函数的出现,所以整个代码还是会继续往下执行。
id=1%20and%20sleep(3)#此时就可以通过延时注入来进行测试:
🍂 9.php
<?php
include_once './common.php';
try {
$order = addslashes($_GET['order']);
if(!preg_match('/DESC|ASC/i', $order)) {
exit("Bad order");
}
$query = "SELECT name,age,email,country FROM user_details order by id {$order};";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 虽然这里出现了addslashes()函数,但是并不需要单引号进行包裹~ 同时还出现了正则匹配,匹配$order中是不是存在DESC/ASC。所以注入的相关语句可以写成:ASC; DROP TABLE user_details--
🍂 10.php
<?php
include_once './common.php';
try {
if (!is_numeric($_GET['id'])) {
header('Status: 404 Not Found');
exit();
}
$query = "SELECT name,age,email,country FROM user_details WHERE id = {$_GET['id']};";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 该版本的代码就是针对8.php,做出了相关的修复。
🍂 11.php
<?php
include_once './common.php';
try {
$order = addslashes($_GET['order']);
$query = "SELECT name,age,email,country FROM user_details ORDER BY id {$order};";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
}同样存在SQL注入漏洞,无需单引号闭合:
🍂 12.php
<?php
include_once './common.php';
try {
$name = $_GET["name"];
$query = "SELECT name,age,email,country FROM user_details WHERE name= ?;";
$stmt = $conn->prepare($query);
$stmt->bindValue(1, $name);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 这种写法就是预编译的写法了,是不存在SQL注入漏洞的。
🍂 13.php
<?php
include_once './common.php';
try {
$name = addslashes($_GET["name"]);
$name = urldecode($name);
$query = "SELECT name,age,email,country FROM user_details WHERE name= '{$name}';";
$stmt = $conn->prepare($query);
$stmt->execute();
$stmt->bindColumn('email', $email);
while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {
echo "$email" . "<br>";
}
}catch (PDOException $e){
echo $e->getMessage();
} 本来如果只有addslashes()函数的话,就不会存在SQL注入漏洞,但是addslashes函数后面存在一个urldecode()函数,从而导致了SQL注入漏洞的出现,同时若是出现base64_decode iconv等函数时,也是存在SQL注入漏洞的!
因为经过一次编码之后,addslashes()函数是检测不到单引号的存在~
在URL中发送payload的时候,会自动进行一次URLEncode,服务器收到请求之后,再自动的进行URLDecode,然后代码中存在一次URLDecode,所以Payload就需要进行两次URLEncode。
🦄 数据库配置
CREATE DATABASE example;
CREATE TABLE `example`.`user_details` (
`id` INT NOT NULL AUTO_INCREMENT,
`name` VARCHAR(256) NOT NULL,
`email` VARCHAR(256) NOT NULL,
`age` INT NULL,
`country` VAR CHAR(256) NULL,
PRIMARYKEY (`id`)
) ENGINE = MyISAM;
INSERT INTO `user_details`(`id`,`name`,`email`,`age`,`country`) VALUES('1','Bob','bob@example.com','22','China');
INSERT INTO `user_details`(`id`,`name`,`email`,`age`,`country`) VALUES('2','Alice','Alice@example.com','25','En');