代码审计中的SQL注入

0x00 背景

SQL注入是一种常见Web漏洞，所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。本文以代码审计的形式研究SQL注入原理、挖掘形式、防御方案及缺陷。

0x01 SQL注入产生原理

SQL注入与其他常见Web漏洞一样，均是由外部可控的参数引起的。由于程序没有经过任何过滤就将外部可控的参数拼接进入SQL语句，直接放入数据库执行，达到了欺骗服务器执行黑客恶意SQL命令的目的。在这里我们采用DVWA中low级别的源码学习SQL注入的产生原理。

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?> 

　　在这里我们注意到变量id是由用户进行掌控的变量，用户所输入的id值并没有进行任何的过滤，直接拼接到SQL语句中执行，我们重点关注这条SQL语句：

$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

　　此处，如果我们所输入的变量id为1' or 1=1 or '1，那么此条SQL语句就变为了：

$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' or 1=1 or '1';";

　　这样，数据库就会根据上面这条语句执行操作，这就是SQL注入漏洞的产生原理。

0x02 SQL注入的挖掘形式

SQL注入往往出现在用户登陆、信息查询等页面，通常在HTTP头中会出现漏洞，例如Cookie值、用于获取用户IP的client-ip中，在代码审计中我们需要着重关注这几个模块。

普通注入

普通形式的SQL注入例如上文中提到的，直接通过联合查询就可以对数据库进行操作，这种注入形式往往容易被扫描器检测出来，在这里不过多进行讲解。在代码审计中，我们只需要关注一些关键字，例如select from、mysql_connect、mysql_query、update、delete、insert等即可。

编码注入

编码注入包括宽字节注入、URLdecode注入等，利用程序的编码规则缺陷，输入与转码函数不兼容的特殊字符，导致输入的字符拼接成为了恶意的SQL语句。

1.宽字节注入

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围)，当PHP连接MySQL的时候，设置了“set_character_set_client=gkb”时，往往就会产生宽字节注入。

例如以下程序：

<?php
//连接数据库部分，注意使用了gbk编码，把数据库信息填写进去
$conn = mysql_connect('localhost', 'root', 'toor!@#$') or die('bad!');
mysql_query("SET NAMES 'gbk'");
mysql_select_db('test', $conn) OR emMsg("连接数据库失败，未找到您填写的数据库");
//执行sql语句
$id = isset($_GET['id']) ? addslashes($_GET['id']) : 1;
$sql = "SELECT * FROM news WHERE tid='{$id}'";
$result = mysql_query($sql, $conn) or die(mysql_error()); //sql出错会报错，方便观察
?>

<html>
<head>
<meta charset="gbk" />
<title>新闻</title>
</head>
<body>
<?php
$row = mysql_fetch_array($result, MYSQL_ASSOC);
echo "<h2>{$row['title']}</h2><p>{$row['content']}<p>\n";
mysql_free_result($result);
?>
</body>
</html>　

以上程序中，sql语句是SELECT * FROM news WHERE tid='{$id}。参数id存在宽字节注入漏洞，程序采用addslashes函数，将$id的值转义。addslashes函数产生的效果就是，让“ ’ ”变成“ \’ ”，对此我们要想进行注入需要绕过“\”。

我们提交/test.php?id=-1' and 1=1#时，数据库执行的操作是select * from news where id = '1\' #，显然这里无法进行注入，但是我们提交/test.php?id=-1 %df ' and 1=1#时，数据库执行的操作就变成了select * from user where id = '1運' and 1=1 #。这样我们就可以实现SQL注入了。

 这是因为单引号被addslashes转义成为\'，我们提交的%df与\(url编码为%5c)组合成为了%df%5c，也就是gbk编码中的“運”字，组合之后被转义的“ \' ”中的“ ‘ ”还存在，成功闭合了之前的单引号。

挖掘这类的SQL注入漏洞只需要搜索关键词，确认是否采用了gbk编码即可，关键词主要有以下三种：

character_set_client=gkb

mysql_set_charset('gbk')

SET NAMES 'gbk'     //这条语句等同于如下代码：

SET
character_set_connect='gbk',
character_set_results='gbk',
character_set_client=gbk;

 宽字节注入除了上述方法外，有时为了避免乱码，程序员使用iconv()函数将GBK编码转换为utf-8编码，例如：

mysql_query(“set names UTF-8”) ;  
$bar =iconv(“GBK”,”UTF-8”, addslashes($_GET[‘’bar])) ; 

例如我们提交http://127.0.0.1/test.php?id=1%e5%5c%27，%e5%5c%27经过addslashes()变为%e5%5c%5c%5c%27，再经过iconv()变为%e9%8c%a6%5c%5c%27，这样我们所提交的请求多了一个%5c，反斜杠本身被转义，单引号（%27）生效。

2.URLdecode注入

 现在绝大多数基于PHP的Web程序都会使用addslashes()等过滤函数对用户提交的变量等进行过滤，如果某处采用了urldecode()函数进行了url解码，那么将会大概率的导致URLdecode注入，例如以下代码：

<?php
$a=addslashes($_GET['c']);
$b=urldecode($a);
echo '$a='.$a;
echo '$b='.$b;
?>

我们在地址栏提交/test.php?c=1%2527时，得到的结果是$a=1%27  $b=1'

这是因为%25的解码结果为“ % ”，与后面的27拼接得到%27，也就是单引号，因此产生了注入。

所以在代码审计中挖掘urldecode注入时，只需要搜过两个关键函数即可：

urldecode

rawurldecode

0x03 防御方案及缺陷

黑名单过滤

黑名单过滤是一种原始的、低效甚至无效的过滤手段，将关键字select等只使用replace()函数置换为空，企图达到阻止SQL注入的发生。

这种防御方案的缺陷非常明显，我们只需要将关键字双向，例如seleselectct（过滤掉中间完整的select之后剩余内容仍是select），也可以大小写绕过的方式，例如SeLeCt（数据库大小写不敏感），以此绕过  防御实现sql注入。

魔术引号

在PHP4.2.3以上版本，可以开启魔法引号自动过滤

magic_quotes_gpc开启后，会在GET、POST、COOKIE中的单引号、双引号、反斜杠、空字符的前面加上反斜杠（ \ ），但在PHP5中对$_SERVER变量停止了过滤，导致client-ip等容易被利用。

magic_qutoes_runtime开启后，与GPC的过滤方案一致，区别是它对数据库和数据文件进行过滤，而非GET、POST、COOKIE值。

在PHP5.4中，魔术引号被取消。

过滤函数

1.addslashes

addslashes是当前常见的一种过滤方式，过滤的内容和范围与GPC一致，不过该函数的参数必须是string型。例如：

<?php
$str=" 1' ";
echo addslashes($str);
?>

得到的结果是1\‘。

2.mysql_escape_string

在PHP4.0.3以上版本中引入了mysql_escape_string函数和mysql_real_escape_string函数，这两个函数也是对字符串进行过滤，受函数影响的字符包括单引号、双引号、\、\n、\r等。例如：

<?php
$con = mysql_connect("localhost","root","password");
$id = mysql_real_escape_string($_GET['id'],$con);
echo `select * from table where id = ' ".$id." '`;
?>

当用户发出请求/test.php?id=1'时，数据库做以下处理：select * from test where id = '1\"。

PDO预编译

PDO prepare预编译类似于Java中的preparestatement，采用预编译的形式处理数据库查询。

<?php
$dbms='mysql';     //数据库类型
$host='localhost'; //数据库主机名
$dbName='test';    //使用的数据库
$user='root';      //数据库连接用户名
$pass='pass';          //对应的密码
$dsn="$dbms:host=$host;dbname=$dbName";
$dsn -> exec("SET NAME 'gbk'");
$sql = "select * from table where user=? and pass=?";
$pstmt = $dbh -> prepare($sql);
$exeres = $pstmt -> excute (array($user,$pass));

　　以上代码虽然采用了PDO进行预编译，但是再PHP5.3.6之前仍然会存在宽字节注入漏洞，因为这样查询是PHP本地模拟prepare，然后再把完整的sql语句发送给数据库，php与MySQL编码不一致导致宽字节注入漏洞的产生，所以我们需要禁止本地模拟prepare，在上述代码中加入一行即可：

$dsn -> setAttribute(PDO::ATTER_EMULATE_PREPARES, flase);

　　

iconv