二次注入——sqli-labs第24关

曾经终败给现在 2023-03-03 05:49 85阅读 0赞

### 目录 ###

*   *  第24关
     *  原理
     *  解析
     *  防范

## 第24关 ##

提示说：please login to continue,请登录以继续。  
没有账号怎么登录？  
当然是选择注册  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70]

盲猜会有个admin的账号，所以注册一个admin '\#的账号。密码是12345

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 1]  
（上帝视角）此时数据库里admin的密码是admin  
![在这里插入图片描述][20200730110615593.png]

登录刚刚注册的账号  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 2]

然后为admin '\#修改密码为123  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 3]  
修改成功（此时真的是修改admin '\#的密码吗）  
![在这里插入图片描述][20200730110744335.png]

（又一次上帝视角）进入数据库，发现admin的密码成了123，而admin '\#的密码并没有重置

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 4]

## 原理 ##

这就是二次注入，它的原理是：

（1）后端（PHP）代码对语句进行了转义
    
    （2）保存进数据库（mysql）时没有转义，是原语句

简而言之就是数据库对自己存储的数据非常放心，而用户恰恰向数据库插入了恶意语句。

## 解析 ##

比如前面所注册的`admin '#`账号，在注册时，后端对其进行了转义（ addslashes() 或者mysql\_real\_escape\_string和mysql\_escape\_string 等），`'#`被转义成了其他的东西，所以一次注入无效。  
但是在保存进数据库的时候，还是`admin '#`。

那么修改密码时的语句如下：

update users set  password='123' where username='admin '#'

所以你以为修改的是`admin '#`的账号，但是数据库理解成要修改密码的账号是`admin`。

## 防范 ##

至于如何防范二次注入也很简单：  
一碗水端平，后端进行了转义，数据库也同样进行转义。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70]: /images/20230208/562a4c3bb7674a7b8329d7df14446216.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 1]: /images/20230208/fac17db9a1114a60a0c5a70b776bbf33.png
[20200730110615593.png]: /images/20230208/2bb0ec4d435d4dd1a4b576415ac93a81.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 2]: /images/20230208/0834c5aa231446cd89293058f3137430.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 3]: /images/20230208/272a26c3088d47b6980fedeccc4bba30.png
[20200730110744335.png]: /images/20230208/c63028484d8d45ba8664a68b7c5af947.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 4]: /images/20230208/bbbcb33af58643aa98cee4a241a5092d.png