基于MySQL的SQL注入攻击的设计与开发.docx

《基于MySQL的SQL注入攻击的设计与开发.docx》由会员分享，可在线阅读，更多相关《基于MySQL的SQL注入攻击的设计与开发.docx（12页珍藏版）》请在第一文库网上搜索。

1、基于 MySQL 的 SQL 注入攻击(SEC-W05-003.1)SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，可能被入侵很长时间管理员都不会发觉。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交段数据库查询代码，根据程序返回的结果，获得某些用户想得知的数据，这就是所谓的SQL Injection,即 SQL注入。实验目的 掌握SQL注入基本手段 了解WEB站点的

2、脆弱性 修复存在SQL注入可能的漏洞实验准备 了解网络常见php+mysql架构应用，如Discuz论坛、PHPBB系统 熟悉简单sql语句的构成 获取服务器IP地址实验步骤PHP注入漏洞知识了解步骤说明：通过实验样例，了解PHP程序注入漏洞的原理，以及SQL注入的简单实现1.PHP程序的运行，需要配合后台数据库数据操作，所以要求程序构建的SQL语句正常执行，事实上简单的SELECT语句就可能存在安全问题，如下两条SQL语句：1) SELECT * FROM article WHERE articleid=,$id,2) SELECT * FROM article WHERE articlei

3、d=$id2 .两种写法在各种程序中都很普遍，但安全性是不同的。注:第1句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句也不会正常执行；而第2句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子可以分别提交两个成功注入的畸形语句。3 .在第1句中，当变量$id值为：1, and 1=2 union select * from user where userid=l#此时整个SQL语句变为：SELECT * FROM article WHERE articleid=,r

4、and 1=2 union select * from user whereuserid=l#*4.在第2句中，指定变量$11为：1 and 1=2 union select * from user where userid=l此时整个SQL语句变为：SELECT * FROM article WHERE articleid=l and 1=2 union select * from user whereuserid=l5 .由于第1句SQL语句用单引号包含$id,我们必须先闭合前面的单引号，并要注释掉后面原SQL语句中的后面的单引号，这样就能使PHP程序认为SQL合法，从而执行非法的SQL。

5、注：如果php.ini中magic_quotes_gpc设置为on或者变量前使用了 addslashes。函数,我们的攻击就会化为乌有，具体请参考PHP用户手册。6 .第2句没有用引号包含变量，那我们也不用考虑去闭合、注释，这样的代码非常危险，直接提交非法SQL就能运行。SQL注入实例步骤说明:通过分析存在SQL注入漏洞的PHP系统实例，掌握常见SQL注入的基础知识1 .预备知识：相信大家都曾使用过留言本、BBS之类的程序，大部分管理后台都是需要登录才能留言管理的。一般情况下，用户输入了密码，单击登录后，登录页面会把用户输入的密码提交给一个动态网页，这个网页就自动到数据库去查看这个提交.上来的

6、密码跟数据库里的密码是否匹配，如果匹配则登录成功，否则就会提示输入错误。本例中就提供了一个简单的PHP+Mysql的WEB环境，如图1所示：文件但）编辑（X）查看（V）收藏R）工具任）帮助国）I后退。团心户搜索收藏夹 3地址）I劭嬴 美懒幽热Gocigle |G一MYSQL SQL INJECTION TESTUsernamePasswordlogin IClear I司完毕2 .假设我们知道该系统管理员用户名为admin,使用正确的帐户密码登录将会进入以下页而，如图2：3 http：/10. 92. 92. 24/login. php - licrosoft Internet Explore

7、r文件国）编辑查看9 收藏工具9 帮助Qf）G题 0回图搜索 收藏夹地址 也）图 http*Zjjow. php -3 目，Goggle 寸 Q 设admin登陆成功USERID: 1InternetI完毕3 .如果输入错误的密码将会进入以下页面，如图3：3 tttp：/IO. 92. 92. 24/login. php - li crosoft Internet Explorer文件国)编辑(g)查看(v)收藏(A)工具d)帮助(M)Q后退，O m曲&IQ搜索土地址也)国E府爨S麻ogin. php收藏夹二 Q 设admin登陆失败USERID:Internet4 .漏洞尝试:在对一个网站进

8、行安全检测的时候，检测者并不知道被检测的网站使用的是什么数据库及网页程序语言，需要对其进行一些手动探测。譬如本案例中，检测者在、用户框输入一个单引号，密码留空，点击登录，会返回如图4：3|http：/192. 168, 25.73/login.php 一 licrosoft Internet Explorer上回2L文件任)编辑()查看9 收藏 工具 帮助QI)。后退。回| 搜索收藏夹矽电地址)南http ：/t8KSftBR/login. phpWarning： mysql_fetch_array()： supplied argument is not a valid MySQL resul

9、tresource in d:usrwwwhtmllogin. php on line 12登陆失败USERID:Internet,画完毕5 .结果分析：从返回信息“Warning: mysql_fetch_array(): supplied argument is not a validMySQL result resourcein /var/www/login.php on line T2可以得知系统使用了 PHP+MYSQL的架构，以及路径信息等。而且很有可能存在含注入漏洞的SQL语句，如SELECT * FROM data WHERE name=,M6 .在如图1的登陆界面中，选择IE

10、浏览器的 查看- 源文件，读取html源码，如图5：-Ini l文件9 编辑 格式）查看9 帮助国）Usernamediu align=,centerPasswordtd colspan=,2Xdiu align=,center,   &np;OtdId7 .通过分析html源码，可以知道提交的usernamepassword字段及post提交方式，及login.php的处理页面，后台的SQL语句确定是：SELECT * FROM TABLES WHERE username=,$username,8 .所以，当我们输入用户名为单引号时，形成了SELECT * FR

11、OM TABLES WHERE use门iame= 这样以来，最后的那个单引号就多余了，造成了语法错误。9 .综上所述，我们现在可以确定注入成功的条件了，登陆时username输入框输入如下内容即可，甚至不需要输入密码：admin or 1=1 /*admin* or 411如图6：注:admin* or 1=1 /*构建了 SELECT * FROM user WHERE usemame=,admin, or 1=1/* AND password=语句，直接通过1 = 1的恒等条件，让验证通过。解决方案1 .确保后台PHP代码在处理提交的数据时，有过滤能力，让含非法字符的数据无法通过。2 .

12、考虑打开配置文件php.ini中的magic_quotes_gpc开关，让程序自动对特殊字符加上注释符单片机内部一般有若干个定时器，如8051单片机内部有T0和口两个16位定时器。每个定时器都是由两个8位的特殊功能寄存器THi和TLi组成，因此,T0和T1都可以通过字节传送指令为它们赋初值，以获得不同定时时间所需要的计数值。T0和T1在初始值的基础上，每隔12个时钟周期(一个机器周期)，作一次加1运算，当计数器从全1变为全0时自动产生定时器溢出中断请求。MCS-51每个定时器有4种工作方式：方式0是13位计数结构，计数器由THi的8位与TLi的低5位构成；方式1是16位计数结构，计数器由THi的8位与TLi的8位组成；方式2是8位计数结构，计数器由TLi的8位组成，当定时器溢时，THi的值能自动装入TLi中，并在此值基础上自动计数，这与其它的方式不同；在方式3下，也是8位的计数器，并且T0的各控制位和引脚归TLO使用，THO借用T1的各控制位和引脚信号，T1只能按不需要中断的方式2工作。定时器的溢出率在不同的工作方式下不同：工作在方式0时：溢出率=fosc/(12*(213-Z+NR)Z为定时器初值，NR为定时器溢出恢复初值的周期数。恢复初值周期数为从定时器溢出到定时器初值重新装入的时间。该段时间和CPU响应中断以及程序中何时