二阶注入
原理:
二次注入需要具備的兩個(gè)條件:
(1)用戶向數(shù)據(jù)庫插入惡意語句(即使后端代碼對(duì)語句進(jìn)行了轉(zhuǎn)義,如mysql_escape_string、mysql_real_escape_string轉(zhuǎn)義)
(2)數(shù)據(jù)庫對(duì)自己存儲(chǔ)的數(shù)據(jù)非常放心,直接取出惡意數(shù)據(jù)給用戶
舉例:
(1)在sqli_libs的第24關(guān),其頁面如下所示:
?
?
(2)當(dāng)我們點(diǎn)擊Forgot your password?時(shí),出現(xiàn)提示:
?
?(3)因此可以嘗試在注冊頁面進(jìn)行二次注入,首先,我們注冊一個(gè)賬號(hào),名為:admin'#? ?,密碼為:123456
?
(4)注冊成功,嘗試登錄admin‘#? ,然后可以查看一下phpmyadmin內(nèi)存儲(chǔ)情況
?
?
?
?
?
(5)而這時(shí)的admin原密碼是admin,并且兩個(gè)賬號(hào)都存儲(chǔ)在數(shù)據(jù)庫內(nèi)的。當(dāng)我們重新修改admin'#的密碼的時(shí)候,這里修改為:12345678;可以發(fā)現(xiàn)二次注入的威力所在。admin的密碼被修改為了:12345678;而admin'#用戶的密碼并沒有發(fā)生變化。
?
?
(6)代碼審計(jì),嘗試分析源碼,出現(xiàn)問題的頁面很顯然是注冊頁面,與密碼修改重置的頁面。
注冊用戶時(shí):
? ? ? ? ? 僅對(duì)特殊字符進(jìn)行了轉(zhuǎn)義,判斷輸入兩次密碼是否一致,然后將用戶鍵入,將數(shù)據(jù)插入至數(shù)據(jù)庫。
? ? ? ? ? $sql = "insert into users ( username, password) values(\"$username\", \"$pass\")"
這里直接插入了數(shù)據(jù)
?
修改密碼時(shí):
$username= $_SESSION["username"];//直接取出了數(shù)據(jù)庫的數(shù)據(jù)
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";//對(duì)該用戶的密碼進(jìn)行更新
$sql = "UPDATE users SET PASSWORD='12345678' where username='admin‘#
?執(zhí)行成功!
?
防御:
(1)對(duì)外部提交數(shù)據(jù)謹(jǐn)慎
(2)從數(shù)據(jù)庫取數(shù)據(jù)時(shí),不能輕易相信查詢出的數(shù)據(jù),要做到同樣的轉(zhuǎn)義或是甄別
總結(jié)
- 上一篇: kali2020提高权限到root
- 下一篇: sqli-labs 30到65关