Ay's Blog@CNSSUESTC

My Links

News

暫時(shí)把這個(gè)作為主博客吧~ 百度博客系統(tǒng)太封閉了

隨筆分類(32)

隨筆檔案(43)

相冊(cè)

pic for blog

搜索

閱讀排行榜

評(píng)論排行榜

初級(jí)PHP注入筆記--by __ay

首先介紹下SQL的select的語法??這個(gè)是注入中非常非常重要的語法，起碼PHP注入中的50％左右都是通過這個(gè)動(dòng)作完成的

先說說語法
select ［字段名］ from ［表名］ where ［限制條件］

看不明白？呵呵??拿個(gè)例子說話就知道了。

假設(shè)我們1個(gè)數(shù)據(jù)庫里面有個(gè)表，表名是user??表里面有2個(gè)字段，1個(gè)是psw 一個(gè)是username
那么? ? select username from user??返回的結(jié)果是這個(gè)表里面的所有用戶名
select psw from user??返回的結(jié)果是這個(gè)表里面的所有密碼，
那么你想得到某個(gè)用戶名的密碼的話如下語句可以幫你實(shí)現(xiàn)
select psw from user where username='你想要的用戶名'

OK 講解完畢，那么我們來講講一個(gè)典型的例子，萬能密碼不知道大家聽說過沒有，我們來看看他是怎么實(shí)現(xiàn)的

$query="select ＊ from user where username='$username' and psw='$psw' and id=1" ;

這個(gè)是一個(gè)PHP典型的用戶驗(yàn)證語句
我們輸入的??用戶名會(huì)被送入到username 這個(gè)變量中，而密碼會(huì)被送入到psw這個(gè)變量中。
那么我們假設(shè)現(xiàn)在手頭沒有用戶名密碼，但是我們又想進(jìn)去，那怎么辦呢？
我們現(xiàn)來觀察下這個(gè)語句，這個(gè)是一個(gè)sql語句，也即是說它會(huì)被送到數(shù)據(jù)庫里面執(zhí)行，那么我們只要通過某種方法使得在不用用戶名和密碼的情況下，使這個(gè)語句為真就可以了。歷史證明這么想是可行的，看不明白？看例子。
比如我們輸入的用戶名密碼如下，

用戶名??'or '1'='1' #
密碼??隨便填

注：#是sql語句里面的注釋符

那么我們的sql語句會(huì)變成這樣：

$query="select ＊ from user where username=''or '1'='1' #‘ and psw='隨便寫' and id=1" ;

看到?jīng)]有？紅色標(biāo)注的是我們輸入的用戶名紫色標(biāo)注的是被注釋掉的東西
我們來分析下這個(gè)句子，’1‘＝’1‘這是永遠(yuǎn)成立的??那么不管前面的username對(duì)不對(duì)這個(gè)邏輯判斷永遠(yuǎn)都是真的，而后面驗(yàn)證密碼的那些東西都被注釋掉了，也就是說這樣自我們的SQL語句是有返回的數(shù)據(jù)的，而且一般管理員的信息都是在user表中的第一個(gè)，也就是說這個(gè)時(shí)候$query這個(gè)變量中就儲(chǔ)存了管理員的用戶信息，下面的程序一看到是管理員的信息，那么就會(huì)自動(dòng)跳轉(zhuǎn)到管理員的用戶界面過去了。

也就是說，我們達(dá)到了不用管理員帳戶密碼登入了管理員的后臺(tái)界面～！呵呵是不是很神奇呢？

那么再來一個(gè)例子

如果PHP中有個(gè)語句是這樣的

$query="select tittle,content from user where id=".$id ;

假設(shè)我們可以改$id這個(gè)變量??而且我們知道表user里面存放著管理員密碼，那么這個(gè)時(shí)候我們也可以把管理員帳號(hào)和密碼弄到手

不信？

我們現(xiàn)來看看union這個(gè)語法??這個(gè)是??連接2個(gè)select用的語法，這樣的話可以返回2個(gè)select的信息

比如

select * from user union select * from topic
（不知道對(duì)不對(duì)??懶得查了??大概就這樣）
那么這個(gè)語句的結(jié)果是返回2個(gè)表里面的所有字段信息

注：*是統(tǒng)配符??也就是說*表示所有??select * from user 就是說把user表里面的內(nèi)容全部返回過來

那么我們輸入的變量$id的信息可以是這樣

2 and 1=2 union select psw from user where username='管理員帳號(hào)'

那么密碼就可以暴出來了??但是紅色標(biāo)注的那個(gè)地方的psw那里必須注意，比如你前面的select是搜出3個(gè)字段的信息，那么你后面的select也必須得是3個(gè)字段的信息

比如
select tittle,content from user where id=".$id ;這個(gè)語句，我們填充后的語句必須是

select tittle,content from user where id=2 and 1=2 union select 1，psw from user where username='管理員帳號(hào)'

這樣，前面的select返回的是2個(gè)字段??我們后面的select必須返回2個(gè)字段，如果字段數(shù)不夠就用1填充，就向上面的例子一樣

之所以要1＝2是應(yīng)為我們必須要讓前面的信息不能顯示，我們后面select語句的信息才能顯示出來，如果要and后面是1＝1的話前面的select語句生效，就不會(huì)顯示我們后面的select語句的內(nèi)容了??呵呵

posted on 2008-12-07 16:12 __ay 閱讀(1281) 評(píng)論(2) 編輯收藏引用所屬分類: Security

Feedback

# re: 初級(jí)PHP注入筆記--by __ay 2008-12-08 10:34 zuhd

能讓你這么容易注入的估計(jì)都是沒做過濾的。。。。回復(fù) 更多評(píng)論

# re: 初級(jí)PHP注入筆記--by ay 2008-12-09 14:24 ay

初級(jí)注入... 我研究的也不是很深~
以前很早寫的一篇學(xué)習(xí)筆記,沒地方放,放這來曬曬~獻(xiàn)丑了~~呵呵回復(fù) 更多評(píng)論

刷新評(píng)論列表

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。


相關(guān)文章: [導(dǎo)入]Wireless Fundamental(2) -- 802.11 MAC頭格式解析(updating) [灌水]不做黑客 sql注入之差異備分關(guān)于1433弱口令的利用-- by __ay 初級(jí)PHP注入筆記--by __ay

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

Ay's Blog@CNSSUESTC

My Links

News

隨筆分類(32)

隨筆檔案(43)

相冊(cè)

相關(guān)鏈接

搜索

最新評(píng)論

閱讀排行榜

評(píng)論排行榜

初級(jí)PHP注入筆記--by __ay

Feedback

# re: 初級(jí)PHP注入筆記--by __ay 2008-12-08 10:34 zuhd

# re: 初級(jí)PHP注入筆記--by ay 2008-12-09 14:24 ay

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

Ay's Blog@CNSSUESTC

My Links

News

隨筆分類(32)

隨筆檔案(43)

相冊(cè)

相關(guān)鏈接

搜索

最新評(píng)論

閱讀排行榜

評(píng)論排行榜

初級(jí)PHP注入筆記--by __ay

Feedback

# re: 初級(jí)PHP注入筆記--by __ay 2008-12-08 10:34 zuhd

# re: 初級(jí)PHP注入筆記--by __ay 2008-12-09 14:24 __ay

# re: 初級(jí)PHP注入筆記--by ay 2008-12-09 14:24 ay