原理:
二次注入需要具备的两个条件:
(1)用户向数据库插入恶意语句(即使后端代码对语句进行了转义,如mysql_escape_string、mysql_real_escape_string转义)
(2)数据库对自己存储的数据非常放心,直接取出恶意数据给用户
举例:
(1)在sqli_libs的第24关,其页面如下所示:
(2)当我们点击Forgot your password?时,出现提示:
(3)因此可以尝试在注册页面进行二次注入,首先,我们注册一个账号,名为:admin'# ,密码为:123456
(4)注册成功,尝试登录admin‘# ,然后可以查看一下phpmyadmin内存储情况
(5)而这时的admin原密码是admin,并且两个账号都存储在数据库内的。当我们重新修改admin'#的密码的时候,这里修改为:12345678;可以发现二次注入的威力所在。admin的密码被修改为了:12345678;而admin'#用户的密码并没有发生变化。
(6)代码审计,尝试分析源码,出现问题的页面很显然是注册页面,与密码修改重置的页面。
注册用户时:
仅对特殊字符进行了转义,判断输入两次密码是否一致,然后将用户键入,将数据插入至数据库。
$sql = "insert into users ( username, password) values("$username", "$pass")"
这里直接插入了数据
修改密码时:
$username= $_SESSION["username"];//直接取出了数据库的数据
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";//对该用户的密码进行更新
$sql = "UPDATE users SET PASSWORD='12345678' where username='admin‘#
执行成功!
防御:
(1)对外部提交数据谨慎
(2)从数据库取数据时,不能轻易相信查询出的数据,要做到同样的转义或是甄别