SQL注入-二次注入

特别声明：该文章只运用于学习安全测试交流之用，请勿用于其他

二次注入可以理解为，攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理，但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中，当Web程序调用存储在数据库中的恶意数据并执行SQL查询时，就发生了SQL二次注入。

二次注入，可以概括为以下两步:

第一步：插入恶意数据

进行数据库插入数据时，对其中的特殊字符进行了转义处理，在写入数据库的时候又保留了原来的数据。

第二步：引用恶意数据

开发者默认存入数据库的数据都是安全的，在进行查询时，直接从数据库中取出恶意数据，没有进行进一步的检验的处理。

配合下图可以有更好的理解：

图-1

二次注入方法

这里我们使用sqli-labs/Less24为例，进行二次注入方法的练习。

插入非法字符

图-1

使用账号登录，然后修改密码，密码修改成功

图-2

$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";

这是因为上面的数据库更新语句，在用户名为 "admin'#" 时执行的实际是：

$sql = "UPDATE users SET PASSWORD='$pass' where username='admin'#' and password='$curr_pass' ";