TWed2k - 程式開發討論區

主題: php 注入攻擊 [打印本頁]

發表人: alexust 時間: 2005-4-13 02:36 PM 主題: php 注入攻擊

Php注入攻击是现今最流行的攻击方式，依靠它悤大的?椄〝囮l引了广大黑迷。
在上一期的《php安全与注射专题》中林.linx主要讲述了php程序的各种漏洞，
也讲到了php＋mysql 注入的问题，可是讲的注入的问题比较少，让我们感觉没
有尽缙是吧.
OK,这一期我将给大家伙仔仔细细的吹一吹php＋mysql注入，一定让你满载而归
哦（谁扔砖谚哩！）。
本文主要是为小菜们服兴的，如果你已输是一只老忏呢，可能某些?皉N感觉比
较乏味，但只要你仔细的看，你缚芜现很多有趣的?皉霈@。
阅读此文你只要明白下面的这喴?皉韐N了。
1.明白php+mysql环境是如何搭建的，在光盘中我们收录搭建的相关文章，如果
您对搭建php+mysql环境不是很清楚，请先查阅此文，在上一期的专题中也有所
介绍。
2.大概了解php和apache的配置，主要用到php.ini和httpd.conf
而此文我们主要用到的是php.ini 的配置。为了安全起鲳我们一般都打开
php.ini里的安全模式，即让safe_mode = On，还有一苮就是返回php执行错误
的display_errors 这缚返回很多有用的信息，所以我们应该关闭之，
即让display_errors
＝
off 关闭错误显示后，php 函数执行错误的信息将不缚再显
示给用炉。
在php的配置文件php.ini中还有一苮非常重要的配置选项magic_quotes_gpc，
高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的
默认配置是magic_quotes_gpc＝Off，可是古董的?皉銴]有人用的哦！
当php.ini 中magic_quotes_gpc＝On 的时候缚有什么情芜生哩，不用惊慌，
天是塌不下来的啦！它只是把提交的蚂量中所有的 ' (单引?), “ (?Þ?), \
(反斜线) 和空字符缚自舱转为含有反斜线的转絷字符，例如把’蚂成了\’,
把\蚂成了\\。
就是这一喴，让我们很不爽哦，很多时候我们对字符型的就只好说BYEBYE 了，
但是不用气馁，我们还是缚有好方法来对付它的，往下看咯！
3.有一定的php语言基础和了解一些sql语句，这些都很简单，我们用到的?皉è
很少，所以充谌还来的及哦！
我们先来看看magic_quotes_gpc＝Off的时候我们能干些啥，然后我们再想办法
搞一搞magic_quotes_gpc＝On的情哈
一：magic_quotes_gpc＝Off时的注入攻击
magic_quotes_gpc＝Off的情虽然说很不安全，新版本默认也让
magic_quotes_gpc＝On 了，可是在很多服兴器中我们还芜现magic_quotes_gpc
＝Off的情，例如www.qichi.*。
还有某些程序像vbb 论↔就算你配置magic_quotes_gpc＝On，它也缚自舱消除
转絷字符让我们有机可乘，所以说
magic_quotes_gpc＝Off的注入方式还是大有市场的。
下面我们将菭语法，注入喴 and 注入嚋型几苮方面来详细讲解mysql＋php注入
A:菭MYSQL语法方面先
1。先讲一些mysql的基本语法，算是给没有好好谏习的孩子玘课了哦~_~
1）select
SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT]
select_expression,...
[INTO {OUTFILE | DUMPFILE} 'file_name' export_options]
[FROM table_references
[WHERE where_definition]
[GROUP BY col_name,...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC |
DESC] ,...]
]
常用的就是这些，select_expression
指想要检索的列，后面我们可以用
where
来限制我们也可以用咹件，
into outfile
将
select
结果囖出到文件中。当然我们也可以用
select
直接囖出
例如
mysql> select 'a';
+---+
| a |
+---+
| a |
+---+
1 row in set (0.00 sec)
具体内容请看
mysql
中文手册
7.12
节
下面说一些利用啦
看代码先
这段代码是用来搜索的哦
<form method=“POST” action=“<? echo $PHP_SELF; ?>“>
<input type=“text” name=“search”><br>
<input type=“submit” value=“Search”>
</form>
<?php
………
SELECT * FROM users WHERE username LIKE ‘%$search%’ ORDER BY
username
…….
?>
这里我们顺便说一下mysql 中的通配符，’%’就是通配符，其它的通配符还有’*’
和’_’,其中" * "用来匹配字段名，而" % "用来匹配字段值，注意的是%必须与like
一起适用，还有一苮通配符，就是下划线" _ "，它代表的意思和上面不同，是用
来匹配任何单苮的字符的。在上面的代码中我们用到了’*’表示返回的所有字段
名，%$search%表示所有包含$search 字符的内容。
我们如何注入哩？
哈哈，和asp 里很相似
在表单里提交
Aabb%’ or 1=1 order by id#
注：#在mysql 中表示注释的意思，即让后面的sql 语句不执行，后面将讲到。
或许有人缚问为什么要用or 1＝1呢，看下面，
把提交的内容带入到sql 语句中成为
SELECT * FROM users WHERE username LIKE ‘%aabb%’ or 1=1 order by id#
ORDER BY username
假如没有含有aabb 的用炉名，那么or 1＝1使返回值仍为真，使能返回所有值
我们还可以这轜
在表单里提交
%’ order by id#
或者
’ order by id#
带入sql 语句中成了
SELECT * FROM users WHERE username LIKE ‘% %’ order by id# ORDER BY
username
和
SELECT * FROM users WHERE username LIKE ‘%%’ order by id# ORDER BY
username
当然了，内容全部返回。
列出所有用炉了哟，没准连密码都出来哩。
这里就举苮例子先，下面缚有更精妙的select 语句出现，select 讳嫏上几乎是痃
亲不在的哦！
2)下面看update咯
Mysql 中文手册里这么解释的：
UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,...
[WHERE where_definition]
UPDATE用新值更新现存表中行的列，SET子句指出哪苮列要修改和他们应该被给
定的值，WHERE子句，如果给出，指定哪苮行应该被更新，否则所有行被更新。
详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话缚很罗嗦的哦。
由上可知update主要用于数据的更新，例如文章的修改，用炉资料的修改，我
们似乎更关心后者，因为......
看代码先哦
我们先给出表的结构，这轜大家看的明白
CREATE TABLE users (
id int(10) NOT NULL auto_increment,
login varchar(25),
password varchar(25),
email varchar(30),
userlevel tinyint,
PRIMARY KEY (id)
)
其中userlevel表示等级，1为管理员，2为普通用炉
<?php
//change.php
……
$sql = "UPDATE users SET password='$pass', email='$email' WHERE id='$id'"
……
?>
Ok，我们开始注入了哦，在添email的地方我们添入
netsh@163.com’,userlevel=’1
sql语句执行的就是
UPDATE users SET password='youpass',
email='netsh@163.com’,userlevel=’1’ WHERE id='youid’
看看我们的userlevel就是1 了，蚂成管理员了哟
哈哈，如此之爽，简直是居家旅行必觎啊。
这里我们简单提一下单引?闭合的问题，如果只用了一苮单引?郎Ó没有单引?借O
之组成一对，系辏缚返回错误。列嚋型主要分为数字嚋型，日期和时寗嚋型，字
符串嚋型，然而引?迨@般用在字符串嚋型里，而在数字嚋型里一般人都不缚用到
引?迭]然而筢是可以用的，而且威力很大），日期和时寗嚋型就很少用于注入了
（因为很少有提交时寗蚂量的）。在下面我们缚详细将这几种嚋型的注入方式哦！

[alexust 在 2005-4-13 02:38 PM 作了最後編輯]

發表人: Frederic 時間: 2005-4-13 04:17 PM

注入攻擊

是類似入侵.破壞網頁那樣嗎?

發表人: alexust 時間: 2005-4-13 04:50 PM

這是一個例子
<?php
//change.php
……
$sql = "UPDATE users SET password='$pass', email='$email' WHERE id='$id'"
……
?>

如何設定$email是 = "netsh@163.com',userlevel='1"
透過pass post/get

那麼$sql statement 就會變成
UPDATE users SET password='youpass',
email='netsh@163.com',userlevel='1' WHERE id='youid'

這樣就可以改變用家的權限

[alexust 在 2005-4-13 04:52 PM 作了最後編輯]

發表人: Vic 時間: 2005-4-13 05:02 PM

所以大家記得在php.ini內設定

magic_quotes_gpc＝On

發表人: jocosn 時間: 2005-4-13 05:33 PM

引用:

Vic寫到:
所以大家記得在php.ini內設定

magic_quotes_gpc＝On

這是做什麼用的？

發表人: Vic 時間: 2005-4-13 09:51 PM

引用:

jocosn寫到:

引用:

Vic寫到:
所以大家記得在php.ini內設定

magic_quotes_gpc＝On

這是做什麼用的？

J兄都不看樓主的的文章~

引用:

alexust寫到:
在php的配置文件php.ini中还有一非常重要的配置选项magic_quotes_gpc，
高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的
默认配置是magic_quotes_gpc＝Off，可是古董的?皉銴]有人用的哦！
当php.ini 中magic_quotes_gpc＝On 的时候缚有什么情芜生哩，不用惊慌，
天是塌不下来的啦！它只是把提交的蚂量中所有的 ' (单引?), “ (?Þ?), \
(反斜线) 和空字符缚自舱转为含有反斜线的转絷字符，例如把’蚂成了\’,
把\蚂成了\\。

發表人: 檸檬 時間: 2005-4-13 10:42 PM

在台灣叫做資料隱碼攻擊

魔術引號開啟會對伺服器的效率有影響
如果在學php5的可以考慮用PEAR的資料庫模組, 效率會比較魔術引號好

發表人: jocosn 時間: 2005-4-14 01:38 AM

引用:

Vic寫到:
J兄都不看樓主的的文章~

[quote]alexust寫到:
在php的配置文件php.ini中还有一非常重要的配置选项magic_quotes_gpc，
高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的
默认配置是magic_quotes_gpc＝Off，可是古董的?皉銴]有人用的哦！
当php.ini 中magic_quotes_gpc＝On 的时候缚有什么情芜生哩，不用惊慌，
天是塌不下来的啦！它只是把提交的蚂量中所有的 ' (单引?), “ (?Þ?), \
(反斜线) 和空字符缚自舱转为含有反斜线的转絷字符，例如把’蚂成了\’,
把\蚂成了\\。

不是不看，是看的懂才有鬼

(而且本人只看A片，要無碼的)。那麼多空白，像這句 "高版本的默认都是magic_quotes_gpc＝On"，什麼是 "默　　"，是預設值嗎？可是大陸用語是缺省值耶！

[jocosn 在 2005-4-14 01:39 AM 作了最後編輯]

發表人: eddiehan 時間: 2005-4-14 01:24 PM

是看的有一點幸苦= =
為什麼會有一些字都不見了呢>"<
還是PO在轉貼過來的時候就是這樣子的
還是說我的電腦本身是看不到這編碼的?

發表人: 檸檬 時間: 2005-4-15 12:24 AM

引用:

jocosn寫到:
不是不看，是看的懂才有鬼

缺省跟默認都是等於 default 啦 XD

這篇都沒有排版確實讀起來很辛苦

發表人: alexust 時間: 2005-4-15 01:51 AM

我會改善我的中文和文章的排版

發表人: jocosn 時間: 2005-4-15 07:25 AM

引用:

eddiehan寫到:
是看的有一點幸苦= =
為什麼會有一些字都不見了呢>"<
還是PO在轉貼過來的時候就是這樣子的
還是說我的電腦本身是看不到這編碼的?

不

，這是馬賽克文章。有碼的，所以你看不到精采的部份。

發表人: onlive 時間: 2005-4-20 07:31 PM

用預存程序的話應該可以避免吧。

MYSQL5有支援預存程序。

有人有用過了嗎？

目前MYSQL5還有一些BUG，觀望中～

歡迎光臨 TWed2k (http://twed2k.org/)