php代码审计学习之dvwa_sql，php审计dvwa_sql_PHP教程

php代码审计学习之dvwa_sql，php审计dvwa_sql

0x00

　　由于转了onenote行列，所以已经好久没有发表新的随笔了，但是想想还是非常有必要的，这几天开始学习php代码审计，所以先开始发这一些的随笔吧！

　　首先就先通过十大测试平台dvwa开始学习吧，先在这里带上参考的大牛链接，感谢分享

　　1.http://drops.wooyun.org/papers/483

　　2.http://www.lxway.com/86980986.htm   is_numeric 函数绕过

　　3.http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html  字符编码绕过  宽字节注入

立即学习“PHP免费学习笔记（深入）”；

0x01

　　这里先带入最简单low级别的php代码

　　$id = $_GET['id'];//未作任何过滤，防注入处理
    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
    $result = mysql_query($getid) or die('
' . mysql_error() . '
' );

　　看到这里我们可以知道这段代码其实对id没有进行处理，导致sql注入漏洞，ok，各种注入都可以，在这里就不再详叙了！
0x02
　　medium级别，代码：

　　$id=$_GET['id'];
　　$id=mysql_real_escape_string($id);//这里对id进行了转义的操作
　　$getid="SELECTfirst_name,last_nameFROMusersWHEREuser_id=$id";

　　mysql_real_escape_string 函数对id参数进行了转义操作，具体常见的转义包括

' => \'
" => \"
\ => \\
\n => \\n

　　这里我想应该有2张方法来绕过这个处理：

　　1.数值型注入
　　　　由于这个函数主要针对的是字符型特殊字符的处理，这样我们可以不使用特殊字符来进行注入，即数值注入
　　

　　构造：1 untion select user,password from users

　　　　由此可以获得users表中的账号密码，当然你会说要是是不知道具体表名列名改怎么办？ok，我们可以尝试使用union bool注入

　　构造：1+union+select+1,(select+case+when+char(72)=(select mid(table_name,0,1) from information_schema.tables limit 0,1)+then+2+end) 

　　　　其中char()中的数值需要变换以及limit，这样子可能会比较花时间，我们可以写个python脚本（ps:先占个坑），其实用延时注入也同样可以实现这样的效果
　　2.宽字节注入
　　mysql_real_escape_string  对参数进行转义的方法就是添加一个‘\’，它的url编码就是%5c ，这样我们在参数中添加%df%5c%27 ，其中%df%5c为合法的gbk字符

							

								
								

									初阶PHP Apache MySQL网站设计
									
初阶PHP Apache MySQL网站设计来自作者多年学习、应用和讲授PHP的经验与体会，是专为学习PHP+MySQL数据库编程人员编与的入门教材。在最后二章设计了2个贴近实际应用的典型案例：留言本系统和论坛系统，每个案例先介绍开发思路、步骤，再给出全部源代码，使所学内容与实际应用紧密结合，特别是论坛系统将全书的案例串讲起来，力求使读者学到最贴近应用前沿的知识和技能。

								
								下载 
							
						
　　那么经过该函数一处理，可以发现会变成%df%5c%5c%27 ，这样子%df%5c会吞掉一个%5c  变成 一个gbk字符+ \\\' 
　　而mysql的转义符也是'\' 相当于注入了一个单引号


　　构造：1%df%5c%27%20||1+--+ 

　　同样的addslashes函数也存在同样的问题，具体参考文章开始的链接
0x02
　　high级别的php代码

$id=$_GET['id'];
$id=stripslashes($id);//剔除参数中的斜杠
$id=mysql_real_escape_string($id);//对id中的特殊字符进行转义
if(is_numeric($id)){//判断是否是数值或数值字符串
    ...

　　好吧，这样一来，我觉得还是变得很安全了，前面2个函数对字符型的注入进行了处理，紧接着is_numeric函数则对数值型注入进行了处理。
　　然而这样子仍然可以造成sql注入，不过是二次注入，且限制的条件也比较苛刻但是仍有机会造成注入
　　比如执行sql语句
　　

　　insert into test(type) values($s);   

 
　　此时传入的字符串$s=0x31206f722031   
　　这样看可以知道这是一个16进制数，可以通过该函数的检测，然后对16进制解码我们可以发现$s其实实际的值为 ‘1 or 1’  
　　那么这样操作数据库里会变成什么样子
　　
　　可以看到数据库将这串16进制数进行了转码变成了1 or 1  那么到时候进行数据库取值然后不经处理带入到另一个sql语句中就会造成二次注入.所以我们在写代码的时候不能盲目的信任数据库里的数据，在取出数据时仍需要进行检测。
0x03
　　sql部分的代码就分析到这里，如有不正确的地方，欢迎拍砖！
　　下篇准备sql blind :)
 


http://www.bkjia.com/PHPjc/1063513.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/1063513.htmlTechArticlephp代码审计学习之dvwa_sql，php审计dvwa_sql 0x00 由于转了onenote行列，所以已经好久没有发表新的随笔了，但是想想还是非常有必要的，这几天...