PHP注入案例

今日我想给大伙儿解读的是1个十分NB的侵入流程，我也感觉十分的精采，里边包括了十分多的知识结构图，这对与彻底不明白php的盆友相同可以了解，而且依照里边的工艺自身来开展侵入相近的网址，而且可以获得很好的作用。

如今SQL引入木马病毒遍地揭是，而且设计规划出许多出色的道具比如NBSI，和CASI这些。这针对人们那样的莱鸟而言很好了，由于完全避免了人们自身手動来一丢丢的猜想了，好多好多提升了侵入率。。好啦屁话很少说立即进到人们的稿子，来多次梦幻之旅，坚信你再这儿必须可以寻找应属你自身的物品。

一．基本知识

最先我還是罗嗦几句php木马病毒的产生的基础的机理，许多我觉得在PHP MYSQL下引入必须要采用单引号，或是是沒有方法像MSSQL那般能够应用 “declare @a sysname select @a= exec master.dbo.xp_cmdshell @a”这种的指令来清除引号，我觉得这一是大伙儿对引入的这种误会或这说成对引入了解上的这种错误观念。

　　怎么回事？由于无论在哪些語言里，在引号（包含双单）里，全部字符串均是常量，即便是dir那样的指令，也牢牢是字符串罢了，并不可以作为指令实行，否则是那样写的编码：

$command = "dir c:\";

system($command);

　　不然一辈子很长字符串，这样的话，人们常说的指令说不上指系统命令，人们这儿说的是SQL句子，要我们一起结构的SQL句子没问题实行，就不可以我们一起的句子变为字符串，那麼哪类用到单引号？何时无需呢？看一下下边几句SQL句子：

①SELECT * FROM article WHERE articleid=$id

②SELECT * FROM article WHERE articleid=$id

　　二种书写在各类系统上都很广泛，但安全系数是不一样的，第一句因为把函数$id放到两只单引号中，那样促使人们所递交的函数都变为了字符串，即便包括了恰当的SQL句子，也不容易没问题实行，而第二句不一样，因为沒有把函数放入单引号中，那人们所递交的任何，要是包括空格，那空格后的函数都是做为SQL句子实行，人们对于2个语句各自递交2个完成引入的畸型句子，讨论一下不同点。

① 特定函数$id为：

1 and 1=2 union select * from user where userid=1/*

这时全部SQL句子变成：

SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1/*

②特定函数$id为：

1 and 1=2 union select * from user where userid=1

这时全部SQL句子变成：

SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1

看下来吗？因为第一句有单引号，人们务必先合闭前边的单引号，那样能够使后边的句子做为SQL实行，然后注解掉后边原SQL句子中的后边的单引号，那样才能够完成引入，假如php.ini中magic_quotes_gpc设定为on或是函数前应用了addslashes()涵数，人们的进攻就会付之东流，但第二句沒有用引号包括函数，那人们也无需考量去合闭、注解，立即递交就OK了。

了解机理了，人们就能够很容易的来入侵网站了，今日人们的目的是http://www.ycxljy.com/西陵区教育信息网，好像看上去做的还挺全方位的，如下图所示1所视，可是记不清安全系数怎样呢？我大约的看过一会儿要闻，http://www.ycxljy.com/show.php?id=1742从地点文件类型上看来是PHP的，我很陋习的在1742后边键入了1个’，如今变成职业健康了，結果却瞠目结舌，如下图所示二所视，出错了，并且立即把web的文件名都给曝露下来，文件名为F:\xljyxxw\show.php，拥有这一东东人们下边的事就很好批了，只不过也是结构句子了，人们然后键入and 1=1, and 1=2检测出有php引入木马病毒。

下边详解一会儿人们要采用的1个mysql的涵数load_file()，由于许多物品都用的到这一涵数。人们了解，在SQL句子中，能够应用各类 MySQL内嵌的涵数，常常应用的也是DATABASE()、USER()、SYSTEM_USER()、SESSION_USER()、 CURRENT_USER()这种涵数来获得某些体系的消息，有个运用得较为多的涵数，也是load_file()，该涵数的功效是读入文档，并将文档內容做为1个字符串回到。

　　见到这儿，应当能够想起人们能够干什么了，也是载入某些绝密文件，可是都是有标准限定的：

· 欲载入文档务必在服· 务器上

· 务必指· 定文档详细的文件名

· 务必有限权载入而且文档务必彻底可读

· 欲载入文档务必低于 max_allowed_packet

　　假如该文档找不到，或由于上边的任意缘故而不可以被写出，涵数回到空。较为难考虑的也是限权，在windows下，假如NTFS设定恰当，是不可以载入有关的文档的，当碰到只能administrators能够浏览的文档，users你就想load_file出去。

　　在具体的引入中，人们有2个难题必须处理：

· 絕對数学文件名

· 结构合理的畸型句子

第一位絕對数学文件名人们早已处理了，结构合理的句子也是小意思了。

二．结构SQL引入句子

php引入与asp引入還是有差别的,人们要开展的是跨表查寻要采用UNION.UNION是联接两根SQL句子,UNION后边查选的字符串总数、字符串种类都应当与前边SELECT相同.浅显点说假如查寻对得话就出現没问题的网页.然后引入http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,2,3,4,5,6,7,8,9,10/*出現的是不正确的网页.表明都还没找对字符串.不断的更改select后边的数子,当数子更改为19候出現了没问题的网页如下图所示三，人们立即载入客户和PIN码，历经N多检测总算找到啦我也立即把地点得出http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,username,3,4,5,password,7,8,9,10 from user/*如图4，获得了登录名是admin007，PIN码是我是中国人。。。。真變態啊。下边人们立即进到控制台http://www.ycxljy.com/admin/ 随后键入人们获得的客户和PIN码，啧啧啧登录完成如下图所示5。人们点一下加上材料，啧啧啧出現了1个能够发送的地区如下图所示6，人们立即把人们的php发送或许到这儿侵入就告一段落，可是結果因此没有很简单的，人们获得了不成功的提醒如下图所示7到这儿来看人生的路走堵塞了，人们再次走load_file()的路面吧。

三．另一个的构思

来看控制台是没什么能够运用的了，人们還是用人们之前介紹的load_file()来侵入吧，人们结构句子。由于从暴错的文件名上看来是windows的，可是实际是啥板本到如今我都还没搞清楚，人们下边来载入c:\boot.ini文件就能够获得windows服务器系统的板本了，实际的结构句子给出http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,2,3,4,5,load_file(char(99,58,92,98,111,111,116,46,105,110,105)),7,8,9,10/*

如下图所示8获得了windows的服务器系统为Windows Server 2003, Enterprise的，下边人们就无需手動的方式了，坚信莱鸟盆友也不容易看得清，我立即用CASI4.0来开展下边的使用，键入有木马病毒的地点，随后点 ScanNum如下图所示9，人们点CASI的暴编码按键，人们在目的文档绝对路径中键入人们获得的文件名F:\xljyxxw\show.php，插进部位挑选 9，如下图所示10人们获得了show.php的源码，抽丝剥茧看编码最终在F:\xljyxxw\bbs\admin\config.php中找到啦 root的PIN码为junly608,可是用Mysql联接的当时说不正确，估算防火墙过虑了。人们再次用CASI的获得webshell作用，結果都没有获得webshell，如今侵入任何进到了1个无底的虫洞了。临时没了构思，和CnhCerKF聊了一上午，都没有寻找好方法。1个钟头的慢慢结束了，散了吧陪媳妇入睡吧。也许明天就能有构思了。

四．最终的构思

没法，再次用admin007PIN码我是中国人登录到控制台看过一会儿，我之前沒有见到能够上传照片的，因为我试了一会儿用php gif的方式，也不成功了。我不经意的见到了发送的文件名是img下。我也键入http://www.ycxljy.com/img/結果出呼了我的预料，如下图所示10，我晕原先是文件名设定不正确了，能够载入img的文件名下的文档，我细心找了一上午，我靠居然有之外感受，说真的我之前的控制台不可以文件上传呢，原先早已许多人捷足先登了，如下图所示11，许多人发送了okphp.php的文档，到这儿构思就清晰了，人们立即键入http://www.ycxljy.com/img/okphp.php結果必须PIN码，可是不是不可以人们能够载入okphp.php的文档取得PIN码不就能够登录了嘛？okphp.php的实际文件名是F:\xljyxxw\img\ okphp.php,如下图所示12，人们早已获得了原文件，我靠，結果却又要我心寒了，为何，你多次多次的帮我期待又多次多次的残害我，原先是源文档加密了，这可该怎么办啊？没法了，我也尽管懂PHP角本可是都还没自身解太密，我也都没有当真，就沒有当一回事，立即把这一物品发至了www.chinaunix.com上边，让她们来解吧，果真不上20分钟的時间就许多人回应了，还真快，跟我说怎样破译，原先这么简单，是我不好太大意了，如下图所示13人们早已了解怎样解了，人们立即就把源码键入到Zend里边，随后在我也支座的apache php mysql网站上实行就获得了如下图所示14的結果。我点一下右健查看源代码，啧啧啧，人们必须的結果都下来，如下图所示15。人们赶快输入验证码dhyhack,如图16登录完成.啧啧啧总算历经艰辛万苦获得了webshell。

实际的提权交到大伙儿去做吧。人们总结一下人们的构思最先寻找PHP引入点->登录控制台->发送PHPWEBshell結果不成功了->运用load_file()涵数载入某些关键的文档->寻找虚拟主机文件名设定不严苛的限权获得了其他黑客的侧门->破译之后获得PIN码->获得webshell，看见比较简单，我觉得十分的难，一步步的对接没有我稿子写的很简单，我就是深入分析了很长期才最后的获得webshell的，我的意思没有说我多牛b，说真的的也是侵入如同罗拼图只能一丢丢的积淀能够最后获得你所愿意的結果。