PHP漏洞挖掘-SQL注入漏洞(二).pdfVIP

EXPLOIT ATTACK DEFENCE 漏 洞 攻 防 〉栏目编辑 〉脚本小子 〉scriptsboy@ 适合读者：入侵爱好者 前置知识：PHP、Linux PHP漏洞挖掘之旅—— SQL 入 洞（二） SQL注 漏 文/图 cnbird[H.U.C]河北泊头杨宁 大家好，我是cnbird，很高兴又可以在挖掘PHP漏 解PHP漏洞系列中最重要的部分——SQL注入。上期 洞系列中和大家见面，不知看了前两期以后感觉如 我们讲的是普通变量没有过滤的，本次我们将提高 何啊？是不是已经挖掘到了属于自己的PHP漏洞 一个层次，重点说说$_SERVER变量的注入。 呢？如果发现了什么好漏洞，记得告诉我一声哦，让 前期基础知识 我也能分享大家的快乐。 在介绍$_SERVER注入之前，我们还要重复的唠 废话不多说，下面开始我们的挖掘之旅，继续讲 叨一下GPC的设置问题，因为这是SQL注入的关键所 ww w.h acke r.c om. cn HACKER DEFENCE 22 黑客防线 2007. 07 EXPLOIT ATTACK DEFENCE 〉栏目编辑 〉脚本小子 〉scriptsboy@ 漏 洞 攻 防 在。magic_quotes_gpc选项是PHP中的一个重要安全设 addslashes()函数和intval()函数，下面我就简单介绍 置，当该选项为ON，也就是打开的时候 ，所有从Get、 一下这两个函数。 Post、Cookie传递过来的数据中的“”、“”、“\”，以及 addslashes()的函数原形是string addslashes(string NULL等元字符都会被自动的加上“\”实现转义。这个 str)，返回字符串，该字符串为了数据库查询语句等 选项使得SQL注入、插入代码以及XSS中引入字符串 的需要，而在某些字符前加上了反斜杠。这些字符是 或者改变程序流程变得困难。但是在PHP5中，一些特 单引号（）、双引号（）、反斜线（\）与 NUL （NULL字 殊变量的存在使得在某些情况下 ，还是会被恶意用 符）。 户引入元字符到数据库以及程序中。 一个使用addslashes()的例子是当你要往数据库 PHP 中的变量除了来源于$_GET、$_POST、 中输入数据时。例如 ，将名字Oreilly插入到数据库 $_Cookie的提交之外，还来源于$_SERVER、$_ENV、 中，这就需要对其进行转义。大多数据库使用“\”作 $_SESSION等，其中$_ENV和$_SESSION我们不能很方 为转义符：O\reilly，这样就可以将数据放入数据库 便地控制和自由提交，所以只剩下一个$_SERVER变量 中，而不会插入额外的“\”。当PHP指令magic_quotes_ 了。而$_SERVER变量包括的内容除了来自服务器本身 sybase被设置成ON时，意味着插入“” 时将使用“\” 外，还有很大一部分来源于用户提交的HTTP请求，比 进行转义。 如下面的代码。 默认情况下 ，PHP 指令magic_quotes_gpc为ON ， QUERY_STRING //用户Get方法提交时的查询字符串 它主要是对所有的Get、Post和Cookie数据自动运行