Ay's Blog@CNSSUESTC

My Links

News

暫時把這個作為主博客吧~ 百度博客系統(tǒng)太封閉了

隨筆分類(32)

隨筆檔案(43)

相冊

pic for blog

搜索

閱讀排行榜

評論排行榜

初級PHP注入筆記--by __ay

首先介紹下SQL的select的語法??這個是注入中非常非常重要的語法，起碼PHP注入中的50％左右都是通過這個動作完成的

先說說語法
select ［字段名］ from ［表名］ where ［限制條件］

看不明白？呵呵??拿個例子說話就知道了。

假設我們1個數(shù)據(jù)庫里面有個表，表名是user??表里面有2個字段，1個是psw 一個是username
那么? ? select username from user??返回的結(jié)果是這個表里面的所有用戶名
select psw from user??返回的結(jié)果是這個表里面的所有密碼，
那么你想得到某個用戶名的密碼的話如下語句可以幫你實現(xiàn)
select psw from user where username='你想要的用戶名'

OK 講解完畢，那么我們來講講一個典型的例子，萬能密碼不知道大家聽說過沒有，我們來看看他是怎么實現(xiàn)的

$query="select ＊ from user where username='$username' and psw='$psw' and id=1" ;

這個是一個PHP典型的用戶驗證語句
我們輸入的??用戶名會被送入到username 這個變量中，而密碼會被送入到psw這個變量中。
那么我們假設現(xiàn)在手頭沒有用戶名密碼，但是我們又想進去，那怎么辦呢？
我們現(xiàn)來觀察下這個語句，這個是一個sql語句，也即是說它會被送到數(shù)據(jù)庫里面執(zhí)行，那么我們只要通過某種方法使得在不用用戶名和密碼的情況下，使這個語句為真就可以了。歷史證明這么想是可行的，看不明白？看例子。
比如我們輸入的用戶名密碼如下，

用戶名??'or '1'='1' #
密碼??隨便填

注：#是sql語句里面的注釋符

那么我們的sql語句會變成這樣：

$query="select ＊ from user where username=''or '1'='1' #‘ and psw='隨便寫' and id=1" ;

看到?jīng)]有？紅色標注的是我們輸入的用戶名紫色標注的是被注釋掉的東西
我們來分析下這個句子，’1‘＝’1‘這是永遠成立的??那么不管前面的username對不對這個邏輯判斷永遠都是真的，而后面驗證密碼的那些東西都被注釋掉了，也就是說這樣自我們的SQL語句是有返回的數(shù)據(jù)的，而且一般管理員的信息都是在user表中的第一個，也就是說這個時候$query這個變量中就儲存了管理員的用戶信息，下面的程序一看到是管理員的信息，那么就會自動跳轉(zhuǎn)到管理員的用戶界面過去了。

也就是說，我們達到了不用管理員帳戶密碼登入了管理員的后臺界面～！呵呵是不是很神奇呢？

那么再來一個例子

如果PHP中有個語句是這樣的

$query="select tittle,content from user where id=".$id ;

假設我們可以改$id這個變量??而且我們知道表user里面存放著管理員密碼，那么這個時候我們也可以把管理員帳號和密碼弄到手

不信？

我們現(xiàn)來看看union這個語法??這個是??連接2個select用的語法，這樣的話可以返回2個select的信息

比如

select * from user union select * from topic
（不知道對不對??懶得查了??大概就這樣）
那么這個語句的結(jié)果是返回2個表里面的所有字段信息

注：*是統(tǒng)配符??也就是說*表示所有??select * from user 就是說把user表里面的內(nèi)容全部返回過來

那么我們輸入的變量$id的信息可以是這樣

2 and 1=2 union select psw from user where username='管理員帳號'

那么密碼就可以暴出來了??但是紅色標注的那個地方的psw那里必須注意，比如你前面的select是搜出3個字段的信息，那么你后面的select也必須得是3個字段的信息

比如
select tittle,content from user where id=".$id ;這個語句，我們填充后的語句必須是

select tittle,content from user where id=2 and 1=2 union select 1，psw from user where username='管理員帳號'

這樣，前面的select返回的是2個字段??我們后面的select必須返回2個字段，如果字段數(shù)不夠就用1填充，就向上面的例子一樣

之所以要1＝2是應為我們必須要讓前面的信息不能顯示，我們后面select語句的信息才能顯示出來，如果要and后面是1＝1的話前面的select語句生效，就不會顯示我們后面的select語句的內(nèi)容了??呵呵

posted on 2008-12-07 16:12 __ay 閱讀(1281) 評論(2) 編輯收藏引用所屬分類: Security

Feedback

# re: 初級PHP注入筆記--by __ay 2008-12-08 10:34 zuhd

能讓你這么容易注入的估計都是沒做過濾的。。。。回復更多評論

# re: 初級PHP注入筆記--by ay 2008-12-09 14:24 ay

初級注入... 我研究的也不是很深~
以前很早寫的一篇學習筆記,沒地方放,放這來曬曬~獻丑了~~呵呵回復更多評論

刷新評論列表

只有注冊用戶登錄后才能發(fā)表評論。


相關文章: [導入]Wireless Fundamental(2) -- 802.11 MAC頭格式解析(updating) [灌水]不做黑客 sql注入之差異備分關于1433弱口令的利用-- by __ay 初級PHP注入筆記--by __ay

網(wǎng)站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

Ay's Blog@CNSSUESTC

My Links

News

隨筆分類(32)

隨筆檔案(43)

相冊

相關鏈接

搜索

最新評論

閱讀排行榜

評論排行榜

初級PHP注入筆記--by __ay

Feedback

# re: 初級PHP注入筆記--by __ay 2008-12-08 10:34 zuhd

# re: 初級PHP注入筆記--by ay 2008-12-09 14:24 ay

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

Ay's Blog@CNSSUESTC

My Links

News

隨筆分類(32)

隨筆檔案(43)

相冊

相關鏈接

搜索

最新評論

閱讀排行榜

評論排行榜

初級PHP注入筆記--by __ay

Feedback

# re: 初級PHP注入筆記--by __ay 2008-12-08 10:34 zuhd

# re: 初級PHP注入筆記--by __ay 2008-12-09 14:24 __ay

# re: 初級PHP注入筆記--by ay 2008-12-09 14:24 ay