第43天：WEB攻防-PHP应用&SQL注入&符号拼接&请求方法&HTTP头&JSON&编码类

#PHP-MYSQL-数据请求类型

SQL语句由于在黑盒中是无法预知写法的，SQL注入能发成功是需要拼接原SQL语句，大部分黑盒能做的就是分析后各种尝试去判断，所以有可能有注入但可能出现无法注入成功的情况。究其原因大部分都是原SQL语句的未知性导致的拼接失败！

由于开发者对于数据类型和SQL语句写法（框架写法）导致SQL注入拼接失败

1、数字型(无符号干扰)

select * from news where id=$id;

2、字符型（有符号干扰）

select * from news where id='$id';

' union select 1,2,3,database(),5,6--+

--+ 是 SQL 注入中的一种常见语法，用来注释掉后续的 SQL 语句。具体来说：

• -- 是 SQL 中的注释符号，表示从 -- 开始到行尾的内容都会被认为是注释，而不会被执行。
• + 是用来替换空格的 URL 编码，它在许多 Web 应用中用于传递参数。

3、搜索型（有多符号干扰）

select * from news where id like '%$id%'

4、框架型（有各种符号干扰）

select * from news where id=('$id');

') union select 1,2,3,4,5,6--+

select * from news where (id='$id');

select * from news where (id='$id') limit 0,1;

select * from news where (id='$id') order by id;

 

#PHP-MYSQL-数据请求方法

全局变量方法：GET POST SERVER FILES HTTP头等

REQUEST接受所有请求

cookie只接受cookie

User-Agent：

使得服务器能够识别客户使用的操作系统，游览器版本等.（很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中）

Cookie：

网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据X-Forwarded-For：简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP,（通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]）.

Rerferer：浏览器向 WEB 服务器表明自己是从哪个页面链接过来的.

Host：客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号

 

如功能点：增删改查

1、用户登录时

2、登录判断IP时

是PHP特性中的$_SERVER['HTTP_X_FORWARDED_FOR'];接受IP的绕过（可以伪造）

数据库存储IP导致的注入

 

实现：代码配置固定IP去判断-策略绕过

实现：数据库白名单IP去判断-select注入

if($ip=='127.0.0.1'){
    echo "<script>alert('可以登录')</script>";
}
else{
    echo "<script>alert('拒绝访问')</script>";

union select 1,2,3,4

实现：防注入记录IP去保存数据库-insert注入

insert news ('title', 'content') value{'1','2'}

3、文件上传将文件名写入数据库-insert注入

 

#PHP-MYSQL-数据请求格式

1、数据采用统一格式传输，后端进行格式解析带入数据库（json）

{"username":"asdasd","password":"asd"}

 

2、数据采用加密编码传输，后端进行解密解码带入数据库（base64）

1' union select 1,2,3,4,5,6 '

1' union select 1,2,3,4,5,6 and '1'='1

1' union select 1,2,3,database(),version(),6 and ='1' = '1

 

33：04