SEC-L05-002.1基于MySQL的SQL注册攻击2010年4月基于MySQL的SQL注入攻击技术背景SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，可能被入侵很长时间管理员都不会发觉。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些用户想得知的数据，这就是所谓的SQLInjection，即SQL注入。实验目的掌握SQL注入基本手段了解WEB站点的脆弱性修复存在SQL注入可能的漏洞实验平台客户端：Windows2000/XP/2003服务端：Linux、php5、apache2、mysql5实验工具客户端需安装IE浏览器实验要点实验中，将了解PHP程序注入漏洞原理，怎样基于APACHE2+PHP+MYSQL系统利用注入漏洞入侵。实验步骤指导实验准备实验概要：了解网络常见php+mysql架构应用，如Discuz论坛、PHPBB系统；熟悉简单sql语句的构成；获取服务器IP地址。PHP注入漏洞知识了解实验概要：通过实验样例，了解PHP程序注入漏洞的原理，以及SQL注入的简单实现。1.PHP程序的运行，需要配合后台数据库数据操作，所以要求程序构建的SQL语句正常执行，事实上简单的SELECT语句就可能存在安全问题，如下两条SQL语句：1）SELECT*FROMWHEREid='$id'2）SELECT*FROMWHEREid=$id2.两种写法在各种程序中都很普遍，但安全性是不同的。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※【注释】第1句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行；而第2句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子可以分别提交两个成功注入的畸形语句。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※3.在第1句中，当变量$id值为：1'and1=2unionselect*fromuserwhereuserid=1#此时整个SQL语句变为：SELECT*FROMWHEREid='1'and1=2unionselect*fromuserwhereuserid=1#'4.在第2句中，指定变量$id为：1and1=2unionselect*fromuserwhereuserid=1此时整个SQL语句变为：SELECT*FROMWHEREid=1and1=2unionselect*fromuserwhereuserid=15.由于第一句SQL语句用单引号包含$id，我们必须先闭合前面的单引号，并要注释掉后面原SQL语句中的后面的单引号，这样就能使PHP程序认为SQL合法，从而执行非法的SQL。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※【注意】如果php.ini中magic_es_gpc设置为on或者变量前使用了addslashes()函数，我们的攻击就会化为乌有，具体请参考PHP用户手册。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※6.第二句没有用引号包含变量，那我们也不用考虑去闭合、注释，这样的代码非常危险，直接提交非法SQL就能运行。SQL注入实例实验概要：通过分析存在SQL注入漏洞的PHP系统实例，掌握的常见SQL注入的基础知识。1.预备知识：相信大家都曾使用过留言本、BBS之类的程序，大部分管理后台都是需要登录才能留言管理的。一般情况下，用户输入了密码，单击“登录”后，登录页面会把用户输入的密码提交给一个动态网页，这个网页就自动到数据库去查看这个提交上来的密码跟数据库里的密码是否匹配，如果匹配则登录成功，否则就会提示输入错误。本例中就提供了一个简单的PHP+Mysql的WEB环境，如下图1所示：（图1）2.假设我们知道该系统管理员用户名为admin，使用正确的帐户密码登录将会进入以下页面，如图2：（图2）3.如果输入错误的密码将会进入以下页面，如图3：（图3）4.漏洞尝试：在对一个网站进行安全检测的时候，检测者并不知道被检测的网站使用的是什么数据库及网页程序语言，需要对其进行一些手动探测。譬如本案例中，检测者在“用户”框输入一个单引号，密码...