PHP注入教程,你掌握了多少

1、PHP 注入教程 , 你掌握了多少 ?阅读 :177 时间 :2009-8-11 6:38:26-在这个注入风靡的时代 , 多少菜鸟拿着工具四处冲锋 . 如果你不想成为工具的奴隶 , 不想遇到 PHP 就退避三舍 , 不想继续做着 ASP 的菜鸟之群 , 不 想 . 那么请你静下心来 , 随我一同 走完这次的入侵检测全过程 . 相信你必然能有所收获 . 不只在技术上 , 更在思路上 , 更在意识 上 .判断是否存在注入 :首先 ,PHP 和 ASP 判断注入的方法一样 , 在一个动态连接后面加上 and 1=1,and 1=2看其返回结果即可判断 . 两次返回结果不相同 , 即可初步判断为有注

2、入点 .判断字段大小 :接下来 , 对付 php 猜字段的方法 , 我们用 order by.语法如下 :UNION SELECT:知道字段大小以后 , 我们就用 union select联合查询来列出所有字段 .你就可以在回显出来的相应的字段上 , 替换你要查询的字段名 , 再 from 表明 . 就可以得到相应 的字段内容了 . 譬如 :几个常用的 MYSQL 函数 :好 了 , 现在我们把字段都列出来了 . 估计这时候有人就该急急忙忙的 加 from 来猜密码了 . 实际上 , 猜测密码走后台这一招 , 我们应该放在最后 . 有人说 MYSQL 的功 能 , 和 ACCESS 一样 ,

3、甚至还不如 , 这其实是误解 , 冤枉了 MYSQL. 我们下面来看看 ,MYSQL 都有些 什么高级的运用 .这 里 首 先 列 出 几 个 常 用 的 涵 数 :1:system_user(2:user(3:current_user4:session_user(5:database(6:version(7 :load_file(.他们的含义分别如下 :1:系统用户名 .2:用户名 .3:当前用户名 :4连接数据库的用户名 .5:数据库名 .6:数据库版 本 .7:MYSQL读取本地文件的函数他们都有什么用 ?1-6的作用如下 :这几个函数翻回来的信息在检测过程中具有非常重要的作用 , 他们

4、对我们了解目标 , 分析目标 , 寻找漏洞 , 开阔思路等等都有莫大的作用 . 譬如了解系统的版本 , 了解数据库是否支持 union,当前用户是否 ROOT 用户的初步判断等等 . 函数 7的作用就更大了 , 我们接下来单独说 .专说 load_file(函数的作用与技巧 .OK.load_file 是 MYSQL 用来读取本地文件时 , 会用到的函数 . 在我们注入时的权限可以读写文件时 ,load_file就有无比巨大的作用了 . 怎么判断有我们注入点的权 限呢 ? 很简单 , 在注入点后加上 and (select count(* from mysql.user0/*如果结果返回正常

5、, 那么就是具有读写权限了 . 我们就可以用这个函数去读取系统的敏感文件 , 去寻找配置文件 , 寻找数据 库连接文件 , 寻找社工文件 , 寻找 WEB 物理路径等等 . 下面 , 我给大家总结出了敏感文件列表 :WINDOWS 下 :load_file(char(99,58,47,119,105,110,100,111,119,115,47,112,104,112,46,105,110,105 c:/windows/php.ini /里面有什么不用我说了吧 ?load_file(char(99,58,47,119,105,110,110,116,47,112,104,112,46,105,

6、110,105c:/winnt/php.iniload_file(char(99,58,47,119,105,110,100,111,119,115,47,109,121,46,105,110,105c:/windows/my.ini /管理员登陆过 MYSQL 会留下密码和用户名load_file(char(99,58,47,119,105,110,110,116,47,109,121,46,105,110,105c:/winnt/my.iniload_file(char(99,58,47,98,111,111,116,46,105,110,105 c:/boot.iniLUNIX/UNIX

7、下 :load_file(char(47,101,116,99,47,112,97,115,115,119,111,114,100/etc/password /不用我说了吧 ?load_file(char(47,117,115,114,47,108,111,99,97,108,47,104,116,116,112,100,47,99, 111,110,102,47,104,116,116,112,100,46,99,111,110,102/usr/local/httpd/conf/httpd.conf /也许能找到网站默认目录哦 !load_file(char(47,117,115,114,4

8、7,108,111,99,97,108,47,97,112,97,99,104,101,50,47 ,99,111,110,102,47,104,116,116,112,100,46,99,111,110,102 /usr/local/apache2/conf/httpd.conf /也许能找到网站默认目录哦 !FreeBSD 下 :load_file(char(47 /列出了此 FreeBSD 系统的根目录大概有朋友看到这里就该叫了 , 这都什么啊 .char(是什么呀 ? 后面一大串又是什么啊 ?(系统不明白的就不用问了 , 自己去 GOOGLE.实际上 , 就算你拥有读和写权限的一个注入

9、点 , 如果你直接执行 load_file(c:boot.ini,一般都回显不了 , 遇到这样的情况 , 你有两个选择 .1把路径转为 16进制 , 直接提交数据库 .2把路径转为 10进制 , 用 char(函数还原回 ASCII.譬 如 c:boot.ini,转换为 16进制就是 :0x633A5C626F6F742E696E69,然后你直接用load_file(0x633A5C626F6F742E696E69就可以了 . 如果转换为 10进制 , 那么就是 :99 58 9298 111 111 116 46 105 110 105.你需要使用 char(来转换 , 转换之前 , 你需要

10、在 TXT 里做个 批 量 替 换 , 把 空 格 都 转 为 , 号 .即 :load_file(char(99,58,92,98,111,111,116,46,105,110,105.注意不要少了扩号 , 都是对称 的 .说到这里 , 估计又有小菜要叫了 . 都弄好啦 , 放那里去执行啊 ?! 别急 , 看看下图 .只要把 load_file(放到页面出现的字段上 , 最好保证有足够位置能显示完你要显示的文件 .实在没有足够位置也不紧张 , 下面我再教你几招 .1: 有时候 , 你明明确认自己拥有读和写文件的权利 , 却硬是读不出来文件 , 或者一片空白 . 为 什么 ? 原因可能是对方的

11、系统在权限配置上做的好 , 你的 USER 权限 , 读不到他 ADMINISTRATOR 里的文件 .NTFS 和 LINUX 都能做到这点 . 如果你排除以上情况 , 你就要考虑 , 是不是你读出来的 内容 , 被浏览器当作 HTML,ASP,PHP,ASPX,JSP等等的脚本语言给执行了 ? 譬如你读出来的内 容如果含有 等符号 , 那么浏览器就会执行你的文件内 容 , 你自然什么都看不到 . 对付这样的 情况 , 也很简单 , 我们只要把那些特殊的符号 , 在读出来的时候 , 用别的符号去代替他们 , 这样 浏览器就不会去执行他们了 ! 怎么代替 ? 我们有 replace(load_

12、file(A,char(B,char(C函数在 ! 当你读 A 文件出来的时候 , 如果里面有 B 字母或者符 号 , 那么 MYSQL 会用 C 字母或者 符 号 去 代 替 B, 然 后 再 显 示 出 来 .OK. 我 们 这 么 一 换 上 :replace(load_file(A,char(60,char(32.这里一样用的 CHAR(函数转换为字母即 一旦出 现 符号 , 就用空格来代替他 . 这样就能完整的回显内容给你了 .2:所有的字段位置都不够位置回显 , 读到的文件不完整哦 , 又不是 上面的原因 , 那么怎么办呢 ? 这里我们用 Substring(str,pos,len

13、函数解决问题 . 他的意思是从字符串 str 的 pos 位位置 起返回 len 个字符的子串 . 譬如 Substring(load_file(A,50,100就是把 A 的内容的第 50个字母开始回显 100个给你 . 那么就能逐段逐段 的回显啦 .into outfile的高级运用 !OK.load_file(我们就说那么多了 . 接下来 , 我们还有许多的重头戏要来呢 ! 这里 , 我要说下一 个很重要的运用方法 , 也正是我着重参考剑心几部作品的技术的部分 . 当我们确定如下几个条 件以后 :1获得物理路径 (into outfile 物理路径 这样才能写对目录2能够使用 union

14、 (也就是说需要 MYSQL3以上的版本 3对方没有对进行过滤 (因为 outfile 后面的 不可以用其他函数代替转换 4就是 MYSQL 用户拥有 file_priv权限 (不然就不能写文件 或者把文件内容读出 5对 web 目录有写权限 MS 的系统一般都有权限 , 但是 LINUX 通常都是 rwxr-xr-x 也就是说组 跟其他用户都没有权限写操作 .这 里的 1, 我们一般可以靠数据库出错信息来爆出来 , 不行的话 , 也可以通过 load_file(来 得到 .2那是一般都可以的了 .3也不多见对 过滤 的 .4有没有权限 , 我们前面已经测试过 的了 .5如果不能备份到网站的路

15、径上来 , 我们也还有别的办法 , 譬如到 starup,run 里面去等 等社工的办法 . 而 且一般多试试上传目录 , 图片目录 , 还是大部分都有读写权限的 .OK. 需要的条件确定了 , 那怎么用呢 ? 我们分开两部来说用法 .用法 1:这是中规中矩的用法 , 大家都知道 . 就是采用网站有的留言 , 上传等功能 , 把你的一句 话马弄上去 , 然后使用其中 /www/home/html/upload/qingyafengping.jpg为你已上传的木马地址 .3,4,5,6为假设 存在字段 ,/www/home/html/为假设的 WEB 路径 .用法 2, 也是重点要说的 . 上面

16、的方法 , 局限性还是比较大的 , 如果网站不给你上传 , 或者网站 过滤上传的内容 , 那怎么办 ? 不用怕 , 剑心早在几年前就给我们想到了个好办法 . 我们只需要直 接这么执行 URL:譬如或者或者3,4,5,6为假设存在字段 ,/www/home/html/为假设的 WEB 路径 .基础部分总结 :好 , 基础部分我就讲到这里 . 等有空了再给大家带来几个实战的检测 . 当然 , 那 时候简单的问题就会一笔带过的了 . 或许你要问 , 为什么我前面要说那么多 , 或者说上面的内 容 , 其实大家用心 , 基本上都可以在网上找到相关的内容 , 为什么我还要在这里说 ? 我给你的答 案只有

17、两个 .1: 我一直提倡学技术要真正懂原因 , 凡事要知其然 , 也要知其所以然 , 每个问题都不会一模一 样 , 每个目标都不会一模一样 , 每过段日子 , 都会有变化 , 要想真正做起 来得心应手 , 遇到困难 能自己解开 , 就必须懂原理 ! 工具也是人写的 , 他只能是你的辅助者 . 他不会根据实际情况来适 应环境 . 你懂了原理 , 你就是一个灵活机动的 智能工具 , 还能创新 , 灵活变化 . 人挪活 , 树挪 S, 再苦再难 , 都要时刻提醒自己 .2:相对于没有基础的小菜们 , 总是很难快速的找到对自己真 正有帮助的资料 . 往往花费大量 时间和功夫 , 还得到错误的答案 , 而误入歧途 . 很多人就是这么开始依赖工具 . 我在这里给大家 总结下来 , 你学的快了 , 也不会走错 方向 . 虽然许多人都