原文首发于安全客:https://www.anquanke.com/post/id/170626
简单的整理一下关于 SQL 盲注的一些想法(主要是针对 MYSQL,当然其中也不免夹杂着一些 SQL Server 和Oracle的知识),希望能有更清晰的思路和不一样的思考。
盲注的本质是猜解(所谓 “盲” 就是在你看不到返回数据的情况下能通过 “感觉” 来判断),那能感觉到什么?答案是:差异(包括运行时间的差异和页面返回结果的差异)。也就是说我们想实现的是我们要构造一条语句来测试我们输入的布尔表达式,使得布尔表达式结果的真假直接影响整条语句的执行结果,从而使得系统有不同的反应,在时间盲注中是不同的返回的时间,在布尔盲注中则是不同的页面反应。
如图所示:
本文主要对 PHP 中的 disable_functions 以及一些可能会遭到利用的函数做一个罗列,并简单解释。
system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,assert,dl,set_time_limit,ignore_user_abort,symlink,link,map_open,imap_mail,ini_set,ini_alter,其他函数
原型:
system ( string $command [, int &$return_var ] )
描述:
同 C 版本的 system() 函数一样, 本函数执行 command 参数所指定的命令, 并且输出执行结果。
如果 PHP 运行在服务器模块中, system() 函数还会尝试在每行输出完毕之后, 自动刷新 web 服务器的输出缓存。
如果要获取一个命令未经任何处理的 原始输出, 请使用 passthru() 函数。
代码审计的时候经常会遇到种类繁杂的转义函数,最可怕的是他们长的都很像,还是拿出来总结一下吧。
用法:
string addslashes ( string $str )
返回值:
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(”)、反斜线(\)与 NUL(NULL 字符)。
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O’reilly 插入到数据库中,这就需要对其进行转义。 强烈建议使用 DBMS 指定的转义函数 (比如 MySQL 是 mysqli_real_escape_string(),PostgreSQL 是 pg_escape_string()),但是如果你使用的 DBMS 没有一个转义函数,并且使用 \ 来转义特殊字符,你可以使用这个函数。 仅仅是为了获取插入数据库的数据,额外的 \ 并不会插入。 当 PHP 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ‘ 时将使用 ‘ 进行转义。
最近整理一些关于业务安全的东西,然后又遇到了这个问题,虽然自己每次提到这个问题第一反应都是一个是在服务器端保存另一个是在客户端保存,但我知道这并不是正确的答案,因为 session 也需要在客户端保存一个标识符 session_id,所以还是想再写一下这个问题,因为实际上一年前左右我已经写过一篇关于 cookie 和 session 的文章,有关 cookie 和session的一些探究,那这篇文章就叫做“再谈”吧。
注意:
攻击者有两种方式获取 cookie ,一种是通过中间人攻击,一种是利用 XSS 这里我们就不讨论中间人攻击对两者的影响,因为这个可以使用 SSL 进行传输防止中间人攻击,设置 cookie 的时候只要加一个Secure 选项就可以保证只在 https 的情况下传输 cookie 了。
从大一开始就读过网上的各种关于 SSL 分析的文章,但是由于知识水平的不到位,也只是似懂非懂的,能说个大概但是再细节一点就懵逼了,不过上学期学了密码学,学的时候我就特地的对有关这部分的内容重点关注了一下,想这次必须要彻底弄清楚了,并且 SSL 也是我们当前互联网的加密传输与通信的典范案例,弄清楚细节对日后的学习工作必有大的帮助。
SSL利用数据加密(对称密码)、身份验证(数字签名+PKI/CA)和消息完整性验证机制(MAC),为基于TCP等可靠连接的应用层协议提供安全性保证。本文会简单介绍SSL的产生背景、技术优点、安全机制及工作过程。
注: PKI (Public Key Infrastructure 公钥基础设施)
