PHP 代码审计之 SQL 注入

约定不等于承诺〃 2022-05-14 01:06 226阅读 0赞

## **0x00：前言** ##

用 CMS 做例子，今天刚下载安装，因为首页的搜索功能比较显眼，所以看了一下是存在 sql 注入的，基本没有防护机制，CMS 比较冷门，不属于热门，所以安全性也低一点，做审计练手很合适。

## **0x01：代码追踪** ##

搜索时 URL 如下：/archives/detail.php?name=1，通过 URL 可知其相应的 php 文件为 archives 下的 detail.php，打开此文件，内容如下：

<?php
        require_once('include/detail.inc.php');
    ?>

只有一行内容，包含了 include 下的 detail.inc.php 文件，打开这个文件，定位到搜索接收 name 参的代码上，其片段代码如下：

$arrWhere = array();
    $arrWhere[] = "type_title_english = '".$_GET['name']."'";
    $strWhere = implode(' AND ', $arrWhere);
    $strWhere = 'where '.$strWhere;
    $arrInfo = $objWebInit->getInfoWhere($strWhere);

代码中是直接通过 $\_GET 获取到的搜索内容，这里并没有做相关的防护措施，获取到搜索内容后，直接拼接到了 $strWhere 变量中，也就是 sql 语句的 where 部分，然后传递给了 getInfoWhere 函数，初步判定是有 sql 注入危险，随后 ctrl + 左键定位到这个函数查看，其代码如下：

public function getInfoWhere($strWhere=null,$field = '*',$table=''){
        try {
            $table = $table?$table:$this->tablename1;
            $strSQL = "SELECT $field FROM $table $strWhere";
            $rs = $this->db->query($strSQL);
            $arrData = $rs->fetchall(PDO::FETCH_ASSOC);
            if(!empty($arrData[0]['structon_tb'])) $arrData = $this->loadTableFieldG($arrData);
            if($this->arrGPdoDB['PDO_DEBUG']) echo $strSQL.'<br><br>';
            return current($arrData);
        } catch (PDOException $e) {
            echo 'Failed: ' . $e->getMessage().'<br><br>';
        }
    }

在这个函数中传来的 $strWhere 变量直接拼接到了 $strSQL 中，直至到执行 sql，那么可以确定这个搜索功能有 sql 注入问题。前提是程序没有使用全局过滤器或其他的防护措施。

## **0x02：渗透验证** ##

通过代码的流程可以看出来搜索功能是存在 sql 注入的，下面通过 burp 和 sqlmap 进行验证，结果如下：

![请输入图片描述][format_png]

可以证明，搜索功能存在 sql 注入漏洞。

## **0x03：修复建议** ##

通常情况下 sql 注入修复方式有两种，第一个是过滤危险的字符，这些字符不止限与单引号双引号，包扩 union、sleep 等数据库的关键字。第二个是使用预编译语句，收到的值使用占位符进行数据库的 CURD，而不是直接拼接到 sql 中。

--------------------

**                                                                        公众号推荐：aFa攻防实验室**

**分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。**

![20191220230427373.jpg][]

[format_png]: /images/20220514/faa99adf0e9145cf9064f2a89a8cb713.png
[20191220230427373.jpg]: /images/20220514/c37416e010214275a0f574941b5f662f.png