PHP代码审计笔记(基础篇)--SQL注入
题记
这几天把我前些日子整理的代码审计文章上传一下,大概学习过程就是看别人文章复现理解,一切学习都是从简往深里学习,这里感谢下Bypass公众号的文章,这些天看了下b站的觉醒年代解说,瞬间又充满干劲了。
0x01 普通注入
SQL参数拼接,未做任何过滤
<?php $con = mysql_connect("localhost","root","root"); if (!$con){die('Could not connect: ' . mysql_error());} mysql_select_db("test", $con); $id = stripcslashes($_REQUEST[ 'id' ]); $query = "SELECT * FROM users WHERE id = $id "; $result = mysql_query($query)or die('<pre>'.mysql_error().'</pre>'); while($row = mysql_fetch_array($result)) { echo $row['0'] . " " . $row['1']; echo "<br />"; } echo "<br/>"; echo $query; mysql_close($con); ?>
测试语句:id=1 UNION SELECT user(),2,3,4 from users
0x02 宽字节注入
A、MYSQL中的宽字符注入
示例代码:
<?php $con = mysql_connect("localhost","root","root"); mysql_query("SET NAMES 'gbk'"); mysql_select_db("test", $con); $id = isset($_GET['id']) ? addslashes($_GET['id']) : 1; $query = "SELECT * FROM users WHERE id ='{$id}' "; $result = mysql_query($query)or die('<pre>'.mysql_error().'</pre>'); while($row = mysql_fetch_array($result)) { echo $row['0'] . " " . $row['1']; echo "<br />"; } echo "<br/>"; echo $query; mysql_close($con); ?>
测试语句:%df%27
mysql的特性,因为gbk是多字节编码,两个字节代表一个汉字,所以%df和后面的\也就是%5c变成了一个汉字"運",而'逃逸了出来。
根据gbk编码,第一个字节ascii码大于128,基本上就可以了。比如我们不用%df,用%a1也可以。
gb2312编码的取值范围。它的高位范围是0xA1~0xF7,低位范围是0xA1~0xFE,而\是0x5c,是不在低位范围中的。
所以,0x5c根本不是gb2312中的编码,所以不会造成宽字节注入。扩展到世界上所有多字节编码,只要低位的范围中含有0x5c的编码,就可以进行宽字符注入。
宽字符注入的修复:
方案一:指定php连接mysql的字符集
mysql_set_charset('gbk',$conn);
id= mysql_real_escape_string (_GET['id']);
方案二:将character_set_client设置为binary(二进制)
mysql_query("SET character_set_connection=gbk, character_set_results=gbk,character_set_client=binary",$conn);
将character_set_client设置成binary,就不存在宽字节或多字节的问题了,所有数据以二进制的形式传递,就能有效避免宽字符注入。
B、PHP 编码转换
示例代码:
<?php $con = mysql_connect("localhost","root","root"); mysql_query("SET NAMES 'gbk'"); mysql_select_db("test", $con); mysql_query("SET character_set_connection=gbk, character_set_results=gbk,character_set_client=binary", $con); $id = isset($_GET['id']) ? addslashes($_GET['id']) : 1; $id=iconv('utf-8','gbk',$id); $query = "SELECT * FROM users WHERE id ='{$id}' "; $result = mysql_query($query)or die('<pre>'.mysql_error().'</pre>'); while($row = mysql_fetch_array($result)) { echo $row['0'] . " " . $row['1']; echo "<br />"; } echo "<br/>"; echo $query; mysql_close($con); ?>
测试语句: 錦'
錦这个字:它的utf-8编码是%e9%8c%a6,它的gbk编码是%e5%5c
錦被iconv从utf-8转换成gbk后,变成了%e5%5c,而后面的'被addslashes变成了%5c%27,这样组合起来就
是%e5%5c%5c%27,两个%5c就是\,正好把反斜杠转义了,导致'逃逸出单引号,产生注入。 id=iconv('gbk','utf-8',id); //使用%df%27来测试
一个gbk汉字2字节,utf-8汉字3字节,如果我们把gbk转换成utf-8,则php会每两个字节一转换。所以,如果\'前面的字符是奇数的话,势必会吞掉\,'逃出限制。
其他函数:
mb_convert_encoding(id,'utf-8','gbk')//GBKToUTF-8与iconv('gbk','utf-8',id)一样
参考文章:
PHP字符编码绕过漏洞总结 http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html
浅析白盒审计中的字符编码及SQL注入 http://www.freebuf.com/articles/web/31537.html
0x03 编码解码
找一些编码解码的函数来绕过防护,,如urldecode() 、rawurldecode()、base64_decode()
<?php $con = mysql_connect("localhost","root","root"); mysql_select_db("test", $con); $id = addslashes($_REQUEST['id']); $id = urldecode($id);//$id = base64_decode($id); $query = "SELECT * FROM users WHERE id = '{$id}'"; $result = mysql_query($query)or die('<pre>'.mysql_error().'</pre>'); while($row = mysql_fetch_array($result)) { echo $row['0'] . " " . $row['1']; echo "<br />"; } echo "<br/>"; echo $query; mysql_close($con); ?>
测试语句:
1'union select 1,2,3,4%23 单引号Urlencode 1%2527union select 1,2,3,4%23
1'union select 1,2,3,4# Base64 Encode MSd1bmlvbiBzZWxlY3QgMSwyLDMsNCM=
0x04 二次注入
入库后转义符就会消失,变成hack',查询出库的就是hack',如果拼接到SQL语句,成功引入了单引号闭合前面字符,导致注入。
测试:
CREATE TABLE test (user VARCHAR(20) NOT NULL);
INSERT INTO test values('hack'');
示例代码:
//测试数据 create table test( id INT NOT NULL, user VARCHAR(100) NOT NULL, pass VARCHAR(100) NOT NULL ) INSERT INTO test values(1,'hack','hack'); //测试代码 <?php $con = mysql_connect("localhost","root","root"); mysql_select_db("test", $con); mysql_query("SET character_set_connection=gbk, character_set_results=gbk,character_set_client=binary", $con); //update入库 if (isset($_GET['key'])){ $key=addslashes($_REQUEST['key']); $query ="update test set user='{$key}' where id=1"; echo "INSERT SQL: ".$query."<br/>"; $result = mysql_query($query); } //select 出库,并带入查询 $query = "SELECT * FROM test WHERE id = 1"; $result = mysql_query($query); $row = mysql_fetch_row($result); echo "<br/>"; $query = "SELECT * FROM test WHERE user = '{$row[1]}'"; print_r('SELECT SQL: '.$query.'<br/>'); $result = mysql_query($query)or die('<pre>'.mysql_error().'</pre>');; echo "<br/>"; print_r(mysql_fetch_row($result)); mysql_close($con); ?>
测试截图:
0x05 全局防护盲点
1、str_replace函数 过滤单引号等,可能造成注入;
2、stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。stripslashes函数使用不当,可能造成注入;
①注入点类似id=1这种整型的参数就会完全无视GPC的过滤; ②注入点包含键值对的,那么这里只检测了value,对key的过滤就没有防护; ③有时候全局的过滤只过滤掉GET、POST和COOKIE,但是没过滤SERVER。
②FILES注入,全局只转义掉GET、POST等传来的参数,遗漏了FILES; ②变量覆盖,危险函数:extract()、parse_str()、$$。
0x06 漏洞防护
基本思路:输入(解决数字型注入)-------转义处理(解决字符型注入)-------输出(解决数据库报错)
1、检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数,从简单的变量函数和字符类型函数(比如 is_numeric(),ctype_digit())到复杂的 Perl 兼容正则表达式函数都可以完成这个工作。如果程序等待输入一个数字,可以考虑使用 is_numeric() 来检查,或者直接使用 settype() 来转换它的类型,也可以用 sprintf() 把它格式化为数字。
2、PHP内置转义函数
Addslashes() http://php.net/manual/zh/function.addslashes.php
magic_quote_gpc http://php.net/manual/zh/info.configuration.php#ini.magic-quotes-gpc
mysql_real_escape_string() http://php.net/manual/zh/function.mysql-real-escape-string.php
mysql_escape_string() http://php.net/manual/zh/function.mysql-escape-string.php
3、数据库报错信息泄露防范:
把php.ini文件display_errors = Off
数据库查询函数前面加一个@字符
最有效可预防SQL注入攻击的防御方式:预处理技术进行数据库查询: 代码示例:
<?php $mysqli = new MySQLi("localhost","root","root","test"); if(!$mysqli){ die($mysqli->error); } $sql = "select id,username,password from users where id=?";////创建一个预定义的对象 ?占位 $mysqli_stmt = $mysqli->prepare($sql); $id=$_REQUEST['id']; $mysqli_stmt->bind_param("i",$id);////绑定参数 $mysqli_stmt->bind_result($id,$username,$password);////绑定结果集 $mysqli_stmt->execute();//执行 while($mysqli_stmt->fetch()){ //取出绑定的结果集 echo $id." ".$username ." ". $password; } echo "<br/>"; echo $sql; $mysqli_stmt->free_result(); ////关闭结果集 $mysqli_stmt->close(); $mysqli->close(); ?>
