漏洞挖掘与防范（基础篇）SQL注入漏洞

淩亂°似流年 2022-03-30 06:28 526阅读 0赞

> 本文记录代码审计的学习过程。
> 
> 教程为《代码审计-企业级Web代码安全架构》，练习靶场为DVWA、Sqli-labs-master和Bugku。

**目录**

一、挖掘

1. 普通注入

2. 编码注入

二、防范

1. 开启gpc/rutime魔术引号

2. 过滤函数和类

3. PDO prepare 预编译

4. 关键字过滤

--------------------

SQL注入漏洞是我们知道的最多的漏洞，原理是由于开发者在编写操作数据库代码时，直接将外部可控的参数拼接到SQL语句中，没有经过任何过滤就直接放入数据库引擎执行。  
        SQL注入是直接对数据库进行攻击的，通常利用SQL注入攻击方式有下面几种：一是在权限比较大的情况下，通过SQL注入可以直接写入webshell，或者执行系统命令等；二是在权限较小的情况下，可以通过注入来获得管理员的密码等信息，或者修改数据库内容进行一些钓鱼或者其他间接利用。

## 一、挖掘 ##

### **1. 普通注入** ###

**   DVWA源代码：**

if( isset( $_POST[ 'Submit' ] ) ) {
 // Get input
 $id = $_POST[ 'id' ];
 
 $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
 
 $query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
 
 // Get results
 while( $row = mysqli_fetch_assoc( $result ) ) {
 // Display values
 $first = $row["first_name"];
 $last = $row["last_name"];
 
 // Feedback for end user
 echo "<pre>ID: {$id} First name: {$first} Surname: {$last}</pre>";
 }
 
 }
 
 // This is used later on in the index.php page
 // Setting it here so we can close the database connection in here like in the rest of the source scripts
 $query = "SELECT COUNT(*) FROM users;";
 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
 $number_of_rows = mysqli_fetch_row( $result )[0];
 
 mysqli_close($GLOBALS["___mysqli_ston"]);

**  DVWA 中用到的防御函数：**

mysql\_real\_escape\_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响：

\x00
        \n
        \r
        \
        '
        "
        \x1a

如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

语法：
        mysql_real_escape_string(string,connection)

## ##

### **2. 编码注入** ###

**（1）宽字节注入**

**   sqli-labs源代码：**

**  sqli-labs 中用到的防御函数：**

addslashes() 对字符串进行反斜杠转义。

\[GET\] 此时，我们可以用宽字节注入，注入参数中带入%df%27，把程序中过滤的\\(%5c)吃掉。

使之在MySQL中运行的SQL语句为：

select * from user where username = '運' and 1=1#'

** ** **  Payload：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 1][]

\[POST\] 此时，我们可以将utf-8转换为utf-16或 utf-32，例如将 ' 转为utf-16为 �'。

** ** **  Payload：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 2][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 3][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 4][]

**    宽字节注入防御手段：**

**1) 在执行查询之前先执行set names 'gbk',character\_set\_client=binary设置字符集**

**2) 使用mysql\_set\_charset('gbk')设置编码，然后使用mysql\_real\_escape\_string()过滤**

**3) 使用pdo方式，在php5.3.6及以下版本需要设置setAttribute(PDO:ATTR\_EMULATE\_PREPARES,false); 来禁用prepare statement的仿真效果**

**（2）二次urldecode注入**

**   bugku源代码：**

if(eregi("hackerDJ",$_GET[id])) {
        echo("not allowed!");
        exit();
    }
    
    $_GET[id] = urldecode($_GET[id]);
    
    if($_GET[id] == "hackerDJ")
    {
        echo "Access granted!";
        echo "flag";
    }

**  本题中用到的函数：**

urldecode()，易导致二次编码生成单引号而引发注入。

** ** **  Payload：**

**使用小葵二次url编码即可，只选一个字母即可。**

![20190105100123581.png][]

## **二、防范** ##

### **1.** **开启gpc/rutime魔术引号** ###

**通常数据污染有两种方式：**

一是应用被动接收参数，类似于GET、POST等;

二是主动获取参数，类似于读取远程页面或者文件内容等。

所以防止SQL注入的方法就是要守住这两条路。

在本书第1章第3节介绍了PHP的核心配置，里面详细介绍了**GPC等魔术引号配置的方法：**

magic\_quotes\_gpc()负责对GET、POST、COOKIE的值进行过滤;

magic\_quotes\_runtime()对从数据库或者文件中获取的数据进行过滤。

通常在开启这两个选项之后能防住部分SQL注入漏洞被利用。

**为什么说是部分呢？**

因为它们只对单引号(')、双引号(")、反斜杠(\\)及空字符NULL进行过滤，在int型的注入上是没有多大作用的。

PHP4.2.3以及之前的版本可以在任何地方设置开启，即配置文件和代码中，之后的版本可以在 php.ini、httpd.conf 以及.htaccess中开启。

### **2.** **过滤函数和类** ###

**几个常见的：**

addslashes()

mysql\_real\_escape\_string()

intval()

### **3. PDO prepare** **预编译** ###

如果之前了解过.NET的SqlParameter或者java里面的prepareStatement,那么就很容易能够理解PHP pdo的prepare,它们三个的作用是一样的，都是通过预编译的方式来处理数据库查询。

我们先来看一段代码:

dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
    $dbh->exec("set names 'gbk'");
    $sql = "select * from test where name=? and password=?"
    $stmt = $dbh->prepare($sql);
    $exeres = $stmt->execute(array($name, $pass));

上面这段代码虽然使用了pdo的prepare方式来处理sql查询，但是当PHP版本<5.3.6之前还是存在**宽字节SQL注人漏洞**，原因在于这样的查询方式是使用了PHP本地模拟prepare,再把完整的SQL语句发送给MySQL服务器，并且有使用set names 'gbk'语句，所以会有**PHP和MySQL编码不一致**的原因导致SQL注人，正确的写法应该是使用ATTR\_ EMULATE\_ PREPARES来禁用PHP本地模拟prepare，代码如下:

dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
    $dbh->exec("set names 'utf8'");
    $sql = "select * from test where name=? and password=?"
    $stmt = $dbh->prepare($sql);
    $exeres = $stmt->execute(array($name, $pass));

### **4.** **关键字过滤** ###

**   bugku中一道题的源代码：**

//过滤sql 
    $array = array('table','union','and','or','load_file','create','delete','select','update',
    'sleep','alter','drop','truncate','from','max','min','order','limit'); 
    foreach ($array as $value) 
    { 
        if (substr_count($id, $value) > 0) 
        { 
            exit('包含敏感关键字！'.$value); 
        } 
    } 
    
    //xss过滤 
    $id = strip_tags($id); 
    $query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

**  本题中用到的函数：**

strip\_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

那么我们可以利用这点，在union等敏感字中间加上 <a> 等标签。

**  Payload：**

http://103.238.227.13:10087/?id=-1 u<a>nion selec<a>t 1,hash fro<a>m .key

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70]: /images/20220330/333908c3f5554004a6a04adb0c502222.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 1]: /images/20220330/541efd0edd8649079dd8482c6c6448d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 2]: /images/20220330/38cdca2a7d43473585b6b9a4b7a442da.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 3]: /images/20220330/695f26a8604c4e73b8c674f461bb069c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 4]: /images/20220330/5c3b4b25ea0e49e2a69f68a398f0d9e7.png
[20190105100123581.png]: /images/20220330/b6fbf85985234f3bb9e10e3f9f3ffa73.png