Base64注入攻擊

Base64攻擊的測(cè)試地址：http://127.0.0.1/sqli/base64.php?id=MQ%3d%3d。

從URL中可以看出，ID參數(shù)經(jīng)過Base64編碼（%3d是=的URL編碼格式），解碼后發(fā)現(xiàn)ID為1，嘗試加上一個(gè)單引號(hào)并一起轉(zhuǎn)換成Base64編碼，如圖59所示。

圖59　對(duì)1'進(jìn)行Base64編碼

當(dāng)訪問id=1'編碼后的網(wǎng)址時(shí)（http://127.0.0.1/sqli/base64.php?id=MSc%3d），頁面返回錯(cuò)誤。1 and 1=1和1 and 1=2的Base64編碼分別為MSBhbmQgMT0x和MSBhbmQgMT0y，再次訪問id=MSBhbmQgMT0x和id=MSBhbmQgMT0y，返回結(jié)果如圖60和圖61所示。

圖60　訪問id=MSBhbmQgMT0x的結(jié)果

圖61　訪問id=MSBhbmQgMT0y的結(jié)果

從返回結(jié)果可以看到，訪問od=1 and 1=1時(shí)，頁面返回與id=1相同的結(jié)果，而訪問od=1 and 1=2時(shí)，頁面返回與id=1不同的結(jié)果，所以該網(wǎng)頁存在SQL注入漏洞。

接著，使用order by查詢字段，使用union方法完成此次注入。

Base64注入代碼分析

在Base64注入頁面中，程序獲取GET參數(shù)ID，利用base_decode()對(duì)參數(shù)ID進(jìn)行Base64解碼，然后直接將解碼后的$id拼接到select語句中進(jìn)行查詢。通過while循環(huán)將查詢結(jié)果輸出到頁面，代碼如下所示。

<?php
$id = base64_decode(@$_GET['id']);
$con = mysqli_connect("localhost","root","root","test");
// 檢測(cè)連接
if (mysqli_connect_errno())
{
    echo "連接失敗: " . mysqli_connect_error();
}
mysqli_select_db($con,'test');

$sql = "select * from users where id=$id";
$result = mysqli_query($con,$sql);

if (!$result)
{
    exit("error");
}
while($row = mysqli_fetch_array($result))
{
    echo "ID:".$row['id']."<br >";
    echo "user:".$row['username']."<br >";	
    echo "pass:".$row['password']."<br >";
    echo "<hr>";
}
mysqli_close($con);
echo "now use ".$sql."<hr>";
?>

由于代碼沒有過濾解碼后的$id，且將$id直接拼接到SQl語句中，所以存在SQL注入漏洞。當(dāng)訪問id=1 union select 1,2,3--+（訪問時(shí)，先進(jìn)行Base64編碼）時(shí)，執(zhí)行的SQL語句為：

select * from users where `id`=1 union select 1,2,3--+

此時(shí)SQL語句可以分為select * from users where `id`=1和union select 1,2,3兩條，利用第二條語句（Union查詢）就可以獲取數(shù)據(jù)庫中的數(shù)據(jù)。

這種攻擊方式還有其他利用場(chǎng)景，例如，如果有WAF，則WAF會(huì)對(duì)傳輸中的參數(shù)ID進(jìn)行檢查，但由于傳輸中的ID經(jīng)過Base64編碼，所以此時(shí)WAF很有可能檢測(cè)不到危險(xiǎn)代碼，進(jìn)而繞過了WAF檢測(cè)。

以上就是Web網(wǎng)絡(luò)安全分析Base64注入攻擊原理詳解的詳細(xì)內(nèi)容，更多關(guān)于Web網(wǎng)絡(luò)安全Base64注入攻擊的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論