Php+Mysql注入专题

Php+Mysql注入专题Php注入攻击是现今最流行的攻击方式，依靠它强大的灵活性吸引了广大黑迷。在上一期的《php安全与注射专题》中林.linx主要讲述了php程序的各种漏洞，也讲到了php＋mysql注入的问题，可是讲的注入的问题比较少，让我们感觉没有尽兴是吧.OK,这一期我将给大家伙仔仔细细的吹一吹php＋mysql注入，一定让你满载而归哦（谁扔砖头哩！）。本文主要是为小菜们服务的，如果你已经是一只老鸟呢，可能某些东西会感觉比较乏味，但只要你仔细的看，你会发现很多有趣的东西哦。阅读此文你只要明白下面的这点东西就够了。1.明白php+mysql环境是如何搭建的，在光盘中我们收录搭建的相关文章，如果您对搭建php+mysql环境不是很清楚，请先查阅此文，在上一期的专题中也有所介绍。2.大概了解php和apache的配置，主要用到php.ini和httpd.conf而此文我们主要用到的是php.ini的配置。为了安全起见我们一般都打开php.ini里的安全模式，即让safe_mode=On，还有一个就是返回php执行错误的display_errors这会返回很多有用的信息，所以我们应该关闭之，即让display_errors＝off关闭错误显示后，php函数执行错误的信息将不会再显示给用户。在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc，高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的默认配置是magic_quotes_gpc＝Off，可是古董的东西也有人用的哦！当php.ini中magic_quotes_gpc＝On的时候会有什么情况发生哩，不用惊慌，天是塌不下来的啦！它只是把提交的变量中所有的'(单引号),“(双引号),\(反斜线)和空字符会自动转为含有反斜线的转义字符，例如把’变成了\’,把\变成了\\。就是这一点，让我们很不爽哦，很多时候我们对字符型的就只好说BYEBYE了，但是不用气馁，我们还是会有好方法来对付它的，往下看咯！3.有一定的php语言基础和了解一些sql语句，这些都很简单，我们用到的东西很少，所以充电还来的及哦！我们先来看看magic_quotes_gpc＝Off的时候我们能干些啥，然后我们再想办法搞一搞magic_quotes_gpc＝On的情况哈一：magic_quotes_gpc＝Off时的注入攻击magic_quotes_gpc＝Off的情况虽然说很不安全，新版本默认也让magic_quotes_gpc＝On了，可是在很多服务器中我们还发现magic_quotes_gpc＝Off的情况，例如*。还有某些程序像vbb论坛就算你配置magic_quotes_gpc＝On，它也会自动消除转义字符让我们有机可乘，所以说magic_quotes_gpc＝Off的注入方式还是大有市场的。下面我们将从语法，注入点and注入类型几个方面来详细讲解mysql＋php注入A:从MYSQL语法方面先1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~1）selectSELECT[STRAIGHT_JOIN][SQL_SMALL_RESULT]select_expression,...[INTO{OUTFILE|DUMPFILE}'file_name'export_options][FROMtable_references[WHEREwhere_definition][GROUPBYcol_name,...][ORDERBY{unsigned_integer|col_name|formula}[ASC|DESC],...]]常用的就是这些，select_expression指想要检索的列，后面我们可以用where来限制条件，我们也可以用intooutfile将select结果输出到文件中。当然我们也可以用select直接输出例如mysqlselect'a';+---+|a|+---+|a|+---+1rowinset(0.00sec)具体内容请看mysql中文手册7.12节下面说一些利用啦看代码先这段代码是用来搜索的哦formmethod=“POST”action=“?echo$PHP_SELF;?“inputtype=“text”name=“search”brinputtype=“submit”value=“Search”/form?php………SELECT*FROMusersWHEREusernameLIKE‘%$search%’ORDERBYusername…….?这里我们顺便说一下mysql中的通配符，’%’就是通配符，其它的通配符还有’*’和’_’,其中*用来匹配字段名，而%用来匹配字段值，注意的是%必须与like一起适用，还有一个通配符，就是下划线_，它代表的意思和上面不同，是用来匹配任何单个的字符的。在上面的代码中我们用到了’*’表示返回的所有字段名，%$search%表示所有包含$search字符的内容。我们如何注入哩？哈哈，和asp里很相似在表单里提交Aabb%’or1=1orderbyid#注：#在mysql中表示注释的意思，即让后面的sql语句不执行，后面将讲到。或许有人会问为什么要用or1＝1呢，看下面，把提交的内容带入到sql语句中成为SELECT*FROMusersWHEREusernameLIKE‘%aabb%’or1=1orderbyid#ORDERBYusername假如没有含有aabb的用户名，那么or1＝1使返回值仍为真，使能返回所有值我们还可以这样在表单里提交%’orderbyid#或者’orderbyid#带入sql语句中成了SELECT*FROMusersWHEREusernameLIKE‘%%’orderbyid#ORDERBYusername和SELECT*FROMusersWHEREusernameLIKE‘%%’orderbyid#ORDERBYusername当然了，内容全部返回。列出所有用户了哟，没准连密码都出来哩。这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！2)下面看update咯Mysql中文手册里这么解释的：UPDATE[LOW_PRIORITY]tbl_nameSETcol_name1=expr1,col_name2=expr2,...[WHEREwhere_definition]UPDATE用新值更新现存表中行的列，SET子句指出哪个列要修改和他们应该被给定的值，WHERE子句，如果给出，指定哪个行应该被更新，否则所有行被更新。详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，我们似乎更关心后者，因为......看代码先哦我们先给出表的结构，这样大家看的明白CREATETABLEusers(idint(10)NOTNULLauto_increment,loginvarchar(25),passwordvarchar(25),emailvarchar(30),userleveltinyint,PRIMARYKEY(id))其中userlevel表示等级，1为管理员，2为普通用户?php//change.php……$sql=UPDATEusersSETpassword='$pass',email='$email'WHEREid='$id'……?Ok，我们开始注入了哦，在添email的地方我们添入netsh@163.com’,userlevel=’1sql语句执行的就是UPDATEusersSETpassword='youpass',email='netsh@163.com’,userlevel=’1’WHEREid='youid’看看我们的userlevel就是1了，变成管理员了哟哈哈，如此之爽，简直是居家旅行必备啊。这里我们简单提一下单引号闭合的问题，如果只用了一个单引号而没有单引号与之组成一对，系统会返回错误。列类型主要分为数字类型，日期和时间类型，字符串类型，然而引号一般用在字符串类型里，而在数字类型里一般人都不会用到引号（然而却是可以用的，而且威力很大），日期和时间类型就很少用于注入了（因为很少有提交时间变量的）。在下面我们会详细将这几种类型的注入方式哦！3)下面轮到insert了，它已经等的不耐烦了，简直就像中午食堂里的学生们。Php中文手册是这样教我们的：INSERT[LOW_PRIORITY|DELAYED][IGNORE][INTO]tbl_name[(col_name,...)]VALUES(expression,...),(...),...INSERT把新行插入到一个存在的表中，INSERT...VALUES形式的语句基于明确指定的值插入行，INSERT...SELECT形式插入从其他表选择的行，有多个值表的INSERT...VALUES的形式在MySQL3.22.5或以后版本中支持，col_name=expression语法在MySQL3.22.10或以后版本中支持。由此可见对于见不到后台的我们来说，insert主要就出现在注册的地方，或者有其它提交的地方地方也可以哦。看看表的结构先CREATETABLEmembres(idvarchar(15)NOTNULLdefault'',loginvarchar(25),passwordvarchar(25),emailvarchar(30),userleveltinyint,PRIMARYKEY(id))我们仍然假设userlevel表示用户等级，1为管理者，2为普通用户哈。代码如下?php//reg.php……$query=INSERTINTOmembersVALUES('$id','$login','$pass','$email',’2');……?默认插入用户等级是2现在我们构建注入语句了哦还是在要我们输入email的地方输入：netsh@163.com’,’1’)#sql语句执行时变成了：INSERTINTOmembresVALUES('youid','youname','youpass','netsh@163.com’,’1’)#',?')看我们一注册就是管理员了。#号表示什么来着，不是忘了吧，晕了，这么快？忘就忘了吧，下面再详细给你说说2.下面说一说mysql中的注释，这个是很重要的，大家可不能再睡觉啦，要是再睡觉到期末考试的时候就挂了你们。我们继续相信大家在上面的几个例子中已经看到注释的强大作用了吧，这里我们将再详细介绍一下。Mysql有3种注释句法#注射掉注释符后面的本行内容--注射效果同#/*...*/注释掉符号中间的部分对于#号将是我们最常用的注释方法。--号记得后面还得有一个空格才能起注释作用。/*…*/我们一般只用前面的/*就够了，因为后面的我们想加也不行，是吧？注意：在浏览器地址栏输入#时应把它写成%23，这样经urlencode转换后才能成为#，从而起到注释的作用。#号在浏览器的地址框中输入的话可什么也不是哦。为了大家深刻理解这里我给大家来个例题有如下的管理员信息表CREATETABLEalphaauthor(Idtinyint(4)NOTNULLauto_increment,UserNamevarchar(50)NOTNULLdefault'',PASSWORDvarchar(50)defaultNULL,Namevarchar(50)defaultNULL,PRIMARYKEY(Id),UNIQUEKEYId(Id),KEYId_2(Id))?php//Login.php……$query=select*fromalphaauthorwhereUserName='$username'andPassword='$passwd';$result=