《SEC-L05-002.1-基于MySQL的SQL注入攻击》由会员分享,可在线阅读,更多相关《SEC-L05-002.1-基于MySQL的SQL注入攻击(8页珍藏版)》请在金锄头文库上搜索。
1、2010年4月基于MySQL的SQL注册攻击SEC-L05-002.1基于MySQL的SQL注入攻击技术背景SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,可能被入侵很长时间管理员都不会发觉。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些用户想得知的数据,这就是所谓的SQL Injection,即SQL注入。实验目的掌
2、握SQL注入基本手段了解WEB站点的脆弱性修复存在SQL注入可能的漏洞实验平台客户端:Windows2000/XP/2003 服务端:Linux、php5、apache2、mysql5实验工具客户端需安装IE浏览器实验要点实验中,将了解PHP程序注入漏洞原理,怎样基于APACHE2+PHP+MYSQL系统利用注入漏洞入侵。实验步骤指导实验准备实验概要:l 了解网络常见php+mysql架构应用,如Discuz论坛、PHPBB系统;l 熟悉简单sql语句的构成;l 获取服务器IP地址。PHP注入漏洞知识了解实验概要:通过实验样例,了解PHP程序注入漏洞的原理,以及SQL注入的简单实现。1. PH
3、P程序的运行,需要配合后台数据库数据操作,所以要求程序构建的SQL语句正常执行,事实上简单的SELECT语句就可能存在安全问题,如下两条SQL语句:1)SELECT * FROM article WHERE articleid=$id2)SELECT * FROM article WHERE articleid=$id2. 两种写法在各种程序中都很普遍,但安全性是不同的。【注释】第1句由于把变量$id放在一对单引号中,这样使得我们所提交的变量都变成了字符串,即使包含了正确的SQL语句,也不会正常执行;而第2句不同,由于没有把变量放进单引号中,那我们所提交的一切,只要包含空格,那空格后的变量都会
4、作为SQL语句执行,我们针对两个句子可以分别提交两个成功注入的畸形语句。3. 在第1句中,当变量$id值为:1 and 1=2 union select * from user where userid=1#此时整个SQL语句变为:SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1#4. 在第2句中,指定变量$id为:1 and 1=2 union select * from user where userid=1此时整个SQL语句变为:SELECT * FROM art
5、icle WHERE articleid=1 and 1=2 union select * from user where userid=15. 由于第一句SQL语句用单引号包含$id,我们必须先闭合前面的单引号,并要注释掉后面原SQL语句中的后面的单引号,这样就能使PHP程序认为SQL合法,从而执行非法的SQL。【注意】 如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数,我们的攻击就会化为乌有,具体请参考PHP用户手册。6. 第二句没有用引号包含变量,那我们也不用考虑去闭合、注释,这样的代码非常危险,直接提交非法SQL就能运行。SQL
6、注入实例实验概要:通过分析存在SQL注入漏洞的PHP系统实例,掌握的常见SQL注入的基础知识。1. 预备知识:相信大家都曾使用过留言本、BBS之类的程序,大部分管理后台都是需要登录才能留言管理的。一般情况下,用户输入了密码,单击“登录”后,登录页面会把用户输入的密码提交给一个动态网页,这个网页就自动到数据库去查看这个提交上来的密码跟数据库里的密码是否匹配,如果匹配则登录成功,否则就会提示输入错误。本例中就提供了一个简单的PHP+Mysql的WEB环境,如下图1所示:(图1)2. 假设我们知道该系统管理员用户名为admin,使用正确的帐户密码登录将会进入以下页面,如图2:(图2)3. 如果输入错
7、误的密码将会进入以下页面,如图3:(图3)4. 漏洞尝试:在对一个网站进行安全检测的时候,检测者并不知道被检测的网站使用的是什么数据库及网页程序语言,需要对其进行一些手动探测。譬如本案例中,检测者在“用户”框输入一个单引号,密码留空,点击“登录”,会返回如图4:(图4)5. 结果分析:从返回信息“Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/login.php on line 12”可以得知系统使用了PHP+MYSQL的架构,以及路径信息等。而且很
8、有可能存在含注入漏洞的SQL语句,如SELECT * FROM data WHERE name=6. 在如图1的登陆界面中,选择IE浏览器的 查看 - 源文件,读取html源码,如图5:(图5)7. 通过分析html源码,可以知道提交的username、password字段及post提交方式,及login.php的处理页面,后台的SQL语句确定是:SELECT * FROM TABLES WHERE username=$username8. 所以,当我们输入用户名为单引号时,形成了SELECT * FROM TABLES WHERE username=这样以来,最后的那个单引号就多余了,造成了
9、语法错误。9. 综上所述,我们现在可以确定注入成功的条件了,登陆时username输入框输入如下内容即可,甚至不需要输入密码:adminor1=1admin #如图6:【注释】 adminor1=1构建了SELECT * FROM user WHERE username=adminor 1=1 AND password=语句,直接通过1=1的恒等条件,让验证通过;而admin#构建了SELECT * FROM user WHERE username=admin # AND password=语句,用#形成对后半部分语句的注释,保证验证通过。(图6)解决方案1. 确保后台PHP代码在处理提交的数据时,有过滤能力,让含非法字符的数据无法通过;2. 考虑打开配置文件php.ini中的magic_quotes_gpc开关,让程序自动对特殊字符加上注释符;
