Web安全原理剖析（十）——Base64注入攻击

2.11 Base64注入攻击

  Base64攻击的测试地址&＃xff1a;http://127.0.0.1/sqli/base64.php?id&＃61;MQ%3d%3d。

  从URL中可以看出&＃xff0c;ID参数经过Base64编码&＃xff08;%3d是&＃61;的URL编码格式&＃xff09;&＃xff0c;解码后发现ID为1&＃xff0c;尝试加上一个单引号并一起转换成Base64编码&＃xff0c;如图59所示。

图59　对1&＃39;进行Base64编码

  当访问id&＃61;1’编码后的网址时&＃xff08;http://127.0.0.1/sqli/base64.php?id&＃61;MSc%3d&＃xff09;&＃xff0c;页面返回错误。1 and 1&＃61;1和1 and 1&＃61;2的Base64编码分别为MSBhbmQgMT0x和MSBhbmQgMT0y&＃xff0c;再次访问id&＃61;MSBhbmQgMT0x和id&＃61;MSBhbmQgMT0y&＃xff0c;返回结果如图60和图61所示。

图60　访问id&＃61;MSBhbmQgMT0x的结果
图61　访问id&＃61;MSBhbmQgMT0y的结果

  从返回结果可以看到&＃xff0c;访问od&＃61;1 and 1&＃61;1时&＃xff0c;页面返回与id&＃61;1相同的结果&＃xff0c;而访问od&＃61;1 and 1&＃61;2时&＃xff0c;页面返回与id&＃61;1不同的结果&＃xff0c;所以该网页存在SQL注入漏洞。

  接着&＃xff0c;使用order by查询字段&＃xff0c;使用union方法完成此次注入。

2.12 Base64注入代码分析

  在Base64注入页面中&＃xff0c;程序获取GET参数ID&＃xff0c;利用base_decode()对参数ID进行Base64解码&＃xff0c;然后直接将解码后的$id拼接到select语句中进行查询。通过while循环将查询结果输出到页面&＃xff0c;代码如下所示。


$id &＃61; base64_decode(&＃64;$_GET[&＃39;id&＃39;]);
$con &＃61; mysqli_connect("localhost","root","root","test");
// 检测连接
if (mysqli_connect_errno())
{echo "连接失败: " . mysqli_connect_error();
}
mysqli_select_db($con,&＃39;test&＃39;);$sql &＃61; "select * from users where id&＃61;$id";
$result &＃61; mysqli_query($con,$sql);if (!$result)
{exit("error");
}while($row &＃61; mysqli_fetch_array($result))
{echo "ID:".$row[&＃39;id&＃39;]."
";echo "user:".$row[&＃39;username&＃39;]."
"; echo "pass:".$row[&＃39;password&＃39;]."
";echo "

  由于代码没有过滤解码后的$id&＃xff0c;且将$id直接拼接到SQl语句中&＃xff0c;所以存在SQL注入漏洞。当访问id&＃61;1 union select 1,2,3--&＃43;&＃xff08;访问时&＃xff0c;先进行Base64编码&＃xff09;时&＃xff0c;执行的SQL语句为&＃xff1a;

select * from users where &＃96;id&＃96;&＃61;1 union select 1,2,3--&＃43;


  此时SQL语句可以分为select * from users where &＃96;id&＃96;&＃61;1和union select 1,2,3两条&＃xff0c;利用第二条语句&＃xff08;Union查询&＃xff09;就可以获取数据库中的数据。

  这种攻击方式还有其他利用场景&＃xff0c;例如&＃xff0c;如果有WAF&＃xff0c;则WAF会对传输中的参数ID进行检查&＃xff0c;但由于传输中的ID经过Base64编码&＃xff0c;所以此时WAF很有可能检测不到危险代码&＃xff0c;进而绕过了WAF检测。