本帖最后由 zhaorong 于 2021-6-10 15:03 编辑

0x01 PDO简介

PDO全名PHP数据对象

PDO扩展为PHP访问数据库定义了一个轻量级的属性数据。PDO提供了一个抽象层这些
都可以使用的吸管数据库都可以使用相同的函数方法来和获取查询数据。
PHP连接MySQL的数据库有三种方式的MySQL的mysqli PDO列表性比较如下：


护理在php中使用pdo扩展需要在php.ini文件中进行配置


0x02 PDO循环SQL注入

①调用方法转义特殊角色
引用()方法方法的原理跟加斜杠差不多都是转义
PDO的quate()类方法适合喜欢的字符串如果需要加上引号并在输入。字符串内转义特殊字符
EG①：

输出

EG②
测试文件

文件

访问http://localhost/pdo.php?username=admin&password=admin


当我们使用单引号探测注入时


反，引用单已被反线转义

②预编译语句

1、占位符

通过引入参数注入通过程序引用参数防止注入的方法会加上在执行SQL语句时可能参数值当成一个整体来进行处理
即使参数值中所有游戏单引号也会把单引号当成单引号字符，而不是字符串的止符。就这样开始在删
除了SQL注入攻击的条件。

将原来的SQL查询语句改为

准备方法进行SQL语句预编译
最后通过调用rowCount()查看返回受sql语句影响方法的行数
返回0语句执行失败比等于1则表示语句执行成功。
所有代码

成功查询


注入失败


2、占位符-通过问号占位符防止注入

SQL语句再进行修改

同上准备方法进行SQL语句预编译
最后调用rowCount()方法查看返回受sql语句影响的行数

效果同上
成功查询


注入失败


3.通过bindParam()方法绑定参数防御SQL注入

修改语句部分

解释：
a)：:username 和 :password
变量为命名参数b)：$username;$password 为获取的变量即用户名和密码。
c)：PDO::PARAM_STR 表示的值一定要为字符串形式绑定参数类型为字符串
。bindparam()方法在默认绑定的参数类型就是字符串。

当你要int类型数据的时候可以绑定参数为PDO::PARAM_INT。

效果同上
成功查询


注入失败


只是总结了一点点PDO 外围需要SQL 注入自己的方法 是否还有见
其他很多 大家都在研究

0x03 PDO 下的注入与思考阅读

前文后读者们可能不会感叹真狠啊 什么都tmd转义什么语句都预表了
这tmd注入编译一个毛...



北宋宰王相安石有言“相最奇奇”成如易却艰辛”
我们抽丝剥茧来探探DO下的注入让
现在在PDO下通用比较的主要方法有以下几种

①宽字节

注入的原则不讲了相信大家都知道
一张图 翻明了


当Mysql数据库my.ini文件中设置编码为gbk时
我们的PHP程序使用了addslashes() PDO::e mysql_real_escape_string() mysql_escape_string()
等函数方法或配置了magic_quotes_gpc=on 仍然可以通过构造%df的方法绕过转

②欢乐注入与模拟注入

PDO模拟非模拟和模拟。

模拟改造是预防部分数据库不支持而恢复的恢复注入的元凶
在初始化PDO 驱动时间可以设置参数PDO::ATTR_EMULATE_PRRES 作用是模拟启动真正的或者关闭（假默认为真。
PDO内部会模拟参数绑定的过程SQL语句是在最后的execute（）的时候才发送给数据库执行。
非模拟条件则是通过数据库服务器来进行动作主要分为两步：
是初步准备阶段发送SQL语句模板到服务器数据库;
第二步通过执行（）函数发送占位符参数给数据库服务器执行。

PDO产生安全问题的主要设置如下：

PDO默认是允许多句语句和模拟预置的在可控的情况下会导致目标增加。

2.1 没有过滤用户的南方注入情况

因为在$pdo>query()执行之前我们便可以对$sql窃听操作 那PDO相当于没用



如果想禁止多语句执行可在创建 PDO 实例时将 PDO::MYSQL_ATTR_MULTI_STATEMENTS 设置为 false

但是同时禁止了执行也只是一个不可能的多个并发


2.2 模拟最终的情况

$role是可控的导致可实现目标和在线查询



2.3当设置PDO::ATTR_ERRMODE和PDO::ERRMODE_EXCEPTION开启报错时

设置方法

是否开启PDO::ATTR_EMULATE_PREPARES-模拟启动此时
SQL语句如果产生报错PDO声明将报错
设置除错误码之外PDO错误提示一个PDO异常并设置它的属性来反射错误和码信息。
设置在调试过程中非常详细，因为它会有效地放大此脚本中产生错误的点，
从而可以非常快速地将代码抛出问题也可能
在情况下可以实现基于错误的 SQL 注入
使用 GTID_SUBSET 函数进行注入注入


2.4 非模拟的情况

这个时候注入已经歇了


但内联查询 报错注入依然坚挺可用


③一个安全案例

语句内存在有用户非纯文字可以部分便餐安全；我们就用非模拟的sql写法

它会告诉 PDO 模拟模拟语句并使用真实的模拟语句。
这可以确保 SQL 语句和相应的值在传递到 mysql 服务器之前不会 PHP 解析的
阻止了所有可能的恶意是 SQL 注入攻击。
以下为一个安全使用PDO的案例

0x04案例剖析-ThinkPHP5中PDO导致的一个鸡肋注入来自Phithon师傅

我们来看看Phithon师傅几年前的博客发的一个案例

https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html

如上述代码如果我们控制了语句的价值位置通过一个集合来造成SQL注入漏洞。
文中之前我还没有多说但说一下这是一个SQL注入漏洞。IN操作代码：

看到$bindName在前边进行了一次检测，正常来说是不会出现漏洞的。但如果$value是一个
数组的情况下这里会遍历$value就可以$k不进了$bindName。
我们控制了预编译的 SQL 语句中的键名 英文是说我们控制了预编译的 SQL 语句这就是一个 SQL
注入漏洞。那么为什么译文中说测试 SQL 注入失败呢？

这就是涉及到预编译的执行过程了。编译执行过程分三步：
1，prepare($SQL) 编译SQL语句
2，bindValue($param, $value) 将值绑定到参数的位置
3，execute() 执行
这个存在实际上就是控制了第二步的$param变量变量如果是一个SQL语句的话
就会在第二步的时候抛出错误的：


所以错误的似乎导致整个过程不到第三步这个就无法注入了。
但实际上在最后的时候就是有预想利用。我们可以做一个实验。写代码如下：

执行发现我只调用了准备函数但原SQL语句中的报错已经成功执行：


究其原因是因为我这里设置了 PDO::ATTR_EMULATE_PREPARES => false。
这个选项涉及到 PDO 的原理机制：因为不是所有的数据库驱动都支持 SQL 预编译所以 PDO 存在模拟机制如果说开启
模拟启动那么 PDO 内部会模拟参数绑定的过程SQL语句是在最后执行（）时候的才发送给数据库执行如果我在这里设
置了PDO :: ATTR_EMULATE_PREPARES =>假那么PDO不会模拟参数化绑定的整个过程和Mysql的交互进行的。

非模拟最终分阶段的情况下参数化过程两步：初始阶段是准备阶段发送占位的sql语句到mysql服务器解析->解析
第二步符是多次发送占位符参数给mysql服务器进行执行多次执行优化->。
到prepare($SQL)当我的SQL语句开始执行的时候我的SQL语句就出现了错误然后就可以直接被mysql
出现异常了就不会再执行第二次次了。我们来看看 ThinkPHP5 的默认配置：

可见这里确实设置了PDO::ATTR_EMULATE_PREPARES => false。 所以终上所述
我构造POC 用错误注入用户获取用户信息：

http://localhost/thinkphp5/public/index.php?ids[0,updatexml(0, concat(0xa,user()),0)]=1231


但是如果你将 user() 改成一个子语句，结果又会爆出无效的参数号：参数没有定义的错误。
因为没有梵想研究说一下我的检测过程：预想是mysql服务端的，但预想的不是数据接触的不会从表中将真实数据取
出来所以使用子查询的情况下不会触发报错;虽然预编译的过程不接触数据，但类似用户（）的这样数据库函数的值还
的英文会生成SQL

0x05 实战案例-从cl社区激活到爆炸2000+星项目0day

5.1起因

挖SRC做项目做的心生烦闷前几日在线在家看1024(cl)社区越看越来劲邪火攻心想搜片看
奈何社区一向奉行诱惑引诱码又恶到可谓相当不爽
于是我去google上找一个卖1024社区邀请码的站


88块钱虽然算不上贵，但这种东西本来就是怎么不受法律保护的。一个JB小子可能不动点白嫖心思？
在黑盒测试了这之后发现的现实逻辑和家人都没有安全问题..我真的要花钱买激活码？
不可能绝对不可能。
看到网站底部有一个技术XXX好家伙呵呵猜不出这应
该就是这个站网站用的CMS系统了


去Git上一搜有2000多颗星星维护了好几年也可以把一个成熟的项目了。直接
最新版源码下载下来丢进PHP风暴里开始审计

5.2从审计思路到PDO导致的家人XFF注入注入

就我个人认为有自己的来源 我更喜欢黑白盒相结合；家人可以自己访问的功能点来确定的目标
简单看一个普通系统是MVC架构的使用了PDO使用有部分过滤规则；后台默认路径是/admin
去外旅游的功能点发现在订单处路径名很开心有一个/直接搜一下页面上的关键词 进入到源码中


发现如下一段代码


PDO流行默认配置 立马考虑了澳大利亚的配置检测
命令用户可以找到其他方法 后被为纯字符串
没有注入补地 原因选择另一种处理方法
后发现IP参数用户可以在调用方法前没做任何处理。
ip参数调用是getClientIP方法我们跟一下getClientIP方法


理解就是从常见的http header中获取客户端IP

但是很高兴ip未做任何处理我们可以通过参数构造XFF头来实现澳大利亚注入
有csrf_token的验证我们必须在订单的页面上随便输入一个订单号
然后输入正确的验证码然后查询才有效
手动构造XFF头针对PDO的注入注入
因为PDO双引号进行结束且无回显的处处
所以构造有效载荷为


迟了5秒注入注入。
目标没有回显的目标注入盲注太慢 用Dnslog OOB又太慢 所以选择构造
一个添加后台管理员的注入峡谷

但是现实是很奇妙的发现测试在FF头中1”将继续之后结果认为只要出现了或者引用触发导致可能触发SQL语句执行
但是有审计经验的兄弟一定会知道PDO下准备的声明给我们了一定的绕过过滤进行注入的沃土
山水复疑无路柳暗花明又一村

5.3 Prepare Statement构造注入注入

知识补充--- Prepare Statement写法
MySQL官方将准备执行开始分配统备准备声明（准备）
预制语句的SQL语法基于三个SQL语句：

献上MYSQL中两个简单的demo

准备语句在SQL 注入王国末日了非常大的作用但是对于SQL 注入攻击同时也提供了新的手段。
准备语句最大的特点就是可以将16 个输入串转为语句并执行字符串。如果发现了一个注可以
入的场景但过滤非常谨慎便使用准备我们进行攻击。

将我们的插入语句直接十六进制编码


建设注入建设


数学3s注入成功添加了一个账号为test@test.test密码为123456的后台
默认直接后台路径/管理员登录后台


前台提交一个社区邀请码的订单
后台修改订单状态为确认付款


没过一会邀请码直接到邮箱


以后可以搜片


5.4 不讲武德被发现

在不武德连续薅了几个邀请码朋友后
站长终于发现了


八嘎既然发现了那就干脆把你的站日下来吧然后好好擦屁股免得0day这站长抓走


5.5后台获取壳审计

经测后台的文件上传处鉴权比较好不能直接前台
后台文件上传处没有对文件扩展名进行任何过滤后台
研究发现所以得到壳直接白给


文件上传后不会返回上传路径 上传路径和上传文件的本土化我们已经了如指掌


UPLOAD_PATH定义如下

CUR_DATE定义如下

文件名

以我现在21点05分钟为例如下输出结果


2021年5月26日的21点05分44秒以例子
完整的文件路径即为

直接构造表单

同时需要添加Referer: httpxxx.top/Admin/products/im
gurl/?id=1并修改底部的页面，
否则会提示请选择商品id
完整的最终上传http请求如下

直接上传成功
欢迎通过burpsuite Intruder来跑一下最后的
秒数不能拿捏的那个配方


直接拿捏
把。把网页清理掉
然后给公共索引页面加点乐子


传统点到为止。

0x06 总结

本文主要通过了PDO外部SQL注入的介绍和PDO中的注入思路方法并给大家带来了10天
实例你的层层发现抽丝剥茧研究一个方法 说明一下的深度实战中是可以的。