SEC-L05-0021-基于MySQL的SQL注入攻击.docVIP

基于MySQL的SQL注入攻击 技术背景 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，可能被入侵很长时间管理员都不会发觉。 随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些用户想得知的数据，这就是所谓的SQL Injection，即SQL注入。 实验目的 掌握SQL注入基本手段 了解WEB站点的脆弱性 修复存在SQL注入可能的漏洞 实验平台 客户端：Windows2000/XP/2003 服务端：Linux、php5、apache2、mysql5 实验工具 客户端需安装IE浏览器 实验要点 实验中，将了解PHP程序注入漏洞原理，怎样基于APACHE2+PHP+MYSQL系统利用注入漏洞入侵。 实验步骤指导 实验准备 实验概要： 了解网络常见php+mysql架构应用，如Discuz论坛、PHPBB系统； 熟悉简单sql语句的构成； 获取服务器IP地址。 PHP注入漏洞知识了解 实验概要： 通过实验样例，了解PHP程序注入漏洞的原理，以及SQL注入的简单实现。 PHP程序的运行，需要配合后台数据库数据操作，所以要求程序构建的SQL语句正常执行，事实上简单的SELECT语句就可能存在安全问题，如下两条SQL语句：1）SELECT * FROM article WHERE articleid=$id2）SELECT * FROM article WHERE articleid=$id 两种写法在各种程序中都很普遍，但安全性是不同的第句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行而第句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子分别提交两个成功注入的畸形语句1 and 1=2 union select * from user where userid=1#此时整个SQL语句变为SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1# 在第2句中，指定变量$id为1 and 1=2 union select * from user where userid=1此时整个SQL语句变为SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1 由于第一句单引号，我们必须先闭合前面的单引号，并要注释掉后面原SQL语句中的后面的单引号这样能使SQL合法，从而执行非法的SQL。 ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数，我们的攻击就会化为乌有第二句没有用引号包含变量，那我们也不用考虑去闭合、注释，。在对一个网站进行安全检测的时候，检测者并不知道被检测的网站使用的是什么数据库及网页程序语言，需要对其进行一些手动探测。譬如本案例中，检测者在“用户”框输入一个单引号，密码留空，点击“登录”，会返回如图4： （图4） 结果分析：从返回信息“Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/login.php on line 12”可以得知系统使用了PHP+MYSQL的架构，以及路径信息等。而且很有可能存在含注入漏洞的SQL语句，如SELECT * FROM data WHERE name=’’’ 在如图1的登陆界面中，选择IE浏览器的 查看 - 源文件，读取html源码，如图5： （图5） 通过分析html源码，可以知道提交的username、password字段及post提交方式，及login.php的处理页面，后台的SQL语句确定是：SELECT * FROM TABLES WHERE username=’$username’ 所以，当我们输入用户名为单引号时，形成了SELECT * FROM TABLES WHERE username=’’’这样以