PHP代码审计-01

🌸 连接方式

PHP + Mysql连接方式：

Mysql（废弃）
Mysqli
PDO

🌸 常见过滤

intval/addslashes/mysql_real_escape

mysqli_escape_string/mysqli_real_escape_string/mysqli::escape_string

PDO::quote

参数化查询

addslashes/mysql_real_escape
1. 可能会导致宽字节注入（如果使用的是GBK编码）
2. 寻找字符串转换函数来绕过
3. urldecode
4. simple_xml_loadstring
5. stripshales
6. json_decode
7. iconv
8. base64_decode
mysqli::escape_string / PDO::quote
1. 与addslashes差别：是否会主动加引号包裹
2. 宽字节注入
参数化查询
1. 寻找非SQL值位置
2. SELECT `name` FROM `users` WHERE `id` = ? ORDER BY `login_time` LIMIT 1 ,在这个SQL语句中除了？的位置是SQL值的位置，其他的位置都不是，要找非SQL值（可控）的位置

🌸 思路总结

开发者容易遗漏的输入点：

HTTP头
1. X-Forwarded-For
2. User-Agent
3. Referer
PHP_SELF
REQUEST_URI
文件名 $_FILES[][name]
php://input
引入单引号（转义符）的方法
stirpslashes
base64_decode
urldecode
substr
iconv
str_replace('0','',$sql)
xml
json_encode

案例

🍂 1.php

<?php
include_once 'common.php';try {$name = $_GET["name"];$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

这种写法是最简单的写法，也是最基本的SQL注入类型。漏洞原因就是将name变量直接拼接在了SQL查询语句中！

直接使用单引号进行闭合，利用报错注入，获取数据库信息。

' and updatexml(1,concat(0x7e,database()),1)%23

🍂 2.php

<?php
include_once './common.php';try {$name = $_GET["name"];$name = addslashes($name);$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该代码使用了addslashes()函数进行了相关的转义。利用php在线文档进行查询该函数：

该函数会将单引号、双引号、反斜线、NUL字节进行转义。（但是并不能防止SQL注入漏洞的出现！）在这个代码中若不考虑GBK编码的问题，是不存在SQL注入漏洞的！

出现SQL注入漏洞的情况：

宽字节注入
urldecode/base64_decode/iconv等函数的出现

🍂 3.php

<?php
include_once './common.php';try {$name = htmlspecialchars($_GET['name']);$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该代码中出现了新的函数：htmlspecialchars()，依然是通过php手册，查询相关的功能：

该函数的作用是将特殊字符转换为HTML实体。可以看到帮助文档中提到，设置了ENT_QUOTES后，单引号就会被转为为&#039... 可以看到该函数是在第二个参数重进行设置。

然而在该代码中没有第二个参数，所以说，这里是不会将单引号进行转换为HTML实体的！依然存在漏洞。

🍂 4.php

<?php
include_once './common.php';try {$id = addslashes($_GET['id']);$query = "SELECT name,age,email,country FROM user_details WHERE id > $id;";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该代码中接收的参数变成了id参数，没有单引号进行包裹，所以这里的addslashes()函数也就失效了。

🍂 5.php

<?php
include_once './common.php';try {$name = preg_replace("/'/", "\\'", $_GET['name']);$query = "SELECT name,age,email,country FROM user_details WHERE name = '{$name}';";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该代码中使用了新的函数preg_replace()，同样是查询手册：

简单来说就是替换！只要用户输入的数据中出现了单引号，那就替换为\'。看似是实现了过滤，但是依然存在SQL注入漏洞。

原因是，当用户输入的是：\'的时候，那么就会替换为：\\'，而第一个\把第二个\给转义了，使得'逃脱！

payload: Bob\%27%20and%20updatexml(1,concat(0x7e,database()),1)%23

🍂 6.php

<?php
include_once './common.php';try {$id = intval($_GET['id']);$query = "SELECT name,age,email,country FROM user_details WHERE id = {$id};";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该代码采用了intval函数，将用户输入的内容转换为整数，虽然还是直接拼接了SQL语句，但是并不存在SQL注入漏洞。

用户输入：1'，就会转换为1，可以理解为从第一个不是数字的地方开始，全部舍弃。

🍂 7.php

<?php
include_once './common.php';try {if (intval($_GET["id"])) {$query = "SELECT name,age,email,country FROM user_details WHERE id = {$_GET['id']};";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}}
}catch (PDOException $e){echo $e->getMessage();
}

也算是比较经典的漏洞了，看似存在intval函数，但是后面拼接的时候，并不是intval()转换之后的结果，而是$_GET['id']！从而导致了SQL注入漏洞的出现。

🍂 8.php

<?php
include_once './common.php';try {if (!is_numeric($_GET['id'])) {header('Status: 404 Not Found');}$query = "SELECT name,age,email,country FROM user_details WHERE id = {$_GET['id']};";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该版本采用了新的函数is_numeric()判断传递的参数是否是数字！如果不是数字的话，那就通过header头发送原生的http头。

但是这里存在一个很大的问题，当用户输入的不是数字的时候，虽然进入了if条件，但是并没有exit/die函数的出现，所以整个代码还是会继续往下执行。

id=1%20and%20sleep(3)#此时就可以通过延时注入来进行测试：

🍂 9.php

<?phpinclude_once './common.php';try {$order = addslashes($_GET['order']);if(!preg_match('/DESC|ASC/i', $order)) {exit("Bad order");}$query = "SELECT name,age,email,country FROM user_details order by id {$order};";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

虽然这里出现了addslashes()函数，但是并不需要单引号进行包裹～同时还出现了正则匹配，匹配$order中是不是存在DESC/ASC。所以注入的相关语句可以写成：ASC; DROP TABLE user_details--

🍂 10.php

<?php
include_once './common.php';try {if (!is_numeric($_GET['id'])) {header('Status: 404 Not Found');exit();}$query = "SELECT name,age,email,country FROM user_details WHERE id = {$_GET['id']};";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

该版本的代码就是针对8.php，做出了相关的修复。

🍂 11.php

<?php
include_once './common.php';try {$order = addslashes($_GET['order']);$query = "SELECT name,age,email,country FROM user_details ORDER BY id {$order};";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

同样存在SQL注入漏洞，无需单引号闭合：

🍂 12.php

<?php
include_once './common.php';try {$name = $_GET["name"];$query = "SELECT name,age,email,country FROM user_details WHERE name= ?;";$stmt = $conn->prepare($query);$stmt->bindValue(1, $name);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

这种写法就是预编译的写法了，是不存在SQL注入漏洞的。

🍂 13.php

<?php
include_once './common.php';try {$name = addslashes($_GET["name"]);$name = urldecode($name);$query = "SELECT name,age,email,country FROM user_details WHERE name= '{$name}';";$stmt = $conn->prepare($query);$stmt->execute();$stmt->bindColumn('email', $email);while ($row = $stmt->fetch(PDO::FETCH_BOUND)) {echo "$email" . "<br>";}
}catch (PDOException $e){echo $e->getMessage();
}

本来如果只有addslashes()函数的话，就不会存在SQL注入漏洞，但是addslashes函数后面存在一个urldecode()函数，从而导致了SQL注入漏洞的出现，同时若是出现base64_decode iconv等函数时，也是存在SQL注入漏洞的！

因为经过一次编码之后，addslashes()函数是检测不到单引号的存在～

在URL中发送payload的时候，会自动进行一次URLEncode，服务器收到请求之后，再自动的进行URLDecode，然后代码中存在一次URLDecode，所以Payload就需要进行两次URLEncode。

🦄 数据库配置

CREATE DATABASE example;CREATE TABLE `example`.`user_details` (
`id` INT NOT NULL AUTO_INCREMENT,
`name` VARCHAR(256) NOT NULL,
`email` VARCHAR(256) NOT NULL,
`age` INT NULL,
`country` VAR CHAR(256) NULL,
PRIMARYKEY (`id`)
) ENGINE = MyISAM;INSERT INTO `user_details`(`id`,`name`,`email`,`age`,`country`) VALUES('1','Bob','bob@example.com','22','China');
INSERT INTO `user_details`(`id`,`name`,`email`,`age`,`country`) VALUES('2','Alice','Alice@example.com','25','En');