如何静心，唯有杜康。.

随机日志

• 10/16/2009 -- 三天一酒 (0)
• 10/25/2009 -- Zen Cart与OSCommerce的比较 (0)
• 10/17/2009 -- bluehost等主机商的权限控制 (0)
• 09/12/2009 -- 厦门一游 (1)
• 08/11/2009 -- 深究Nginx502 bad gateway, 504 Gateway Time-out的彻底解决（转） (0)

这个百度就不会出问题，百度比较“友好”，不设置防机器人机制

经过测试，谷哥只屏蔽掉了类似”inurl:XXX”之类的语法

只要是这类语法，都会被跳转到验证页面，自然就无法抓取了

而且机制很细致，inurl后台跟冒号的话才会被跳，如”inurl%3A”，而”inur%3A”或”inurl3A”等会被认为普通搜索，不跳

看来只是防高级搜索技巧

不过解决方法也简单，传到国外服务器上使用就不被屏蔽了，可能是因为在中国，也可能因为没有独立IP

在想办法完美模拟浏览器进行抓取

随机日志

• 08/27/2010 -- 兄弟 (1)
• 10/31/2009 -- zen cart xml sitemap更新 (1)
• 01/30/2009 -- mysql数据库错误 1289 解决办法 (0)
• 03/19/2010 -- 最近比较忙 (7)
• 06/22/2009 -- div+css去掉超链接的下划线 (0)

随机日志

• 09/16/2009 -- 仝字的读音 (1)
• 09/29/2009 -- 一句话木马 (0)
• 12/04/2009 -- cc 攻击及其解决方案 (0)
• 10/14/2009 -- 牙 (4)
• 07/16/2009 -- 蝴蝶 (2)

这个朋友就是这样，有好事总能想到我，比如去年年底介绍我和一群高才生合作，当然，可行性不高的，最终也没做

对比下李展的某些朋友，真是天堂与地狱

当朋友做到互相计较谁欠谁的，也够真悲了；就如不再相爱的恋人

随机日志

• 10/30/2009 -- 什么是联属计划(google的说明) (1)
• 07/19/2009 -- 龟山 (0)
• 08/19/2010 -- Zen Cart HTML Editor问题 (1)
• 07/28/2009 -- 今天发现的一个502 bad gateway可能 (0)
• 10/21/2009 -- J (2)

　　国内能看到php+Mysql注入的文章可能比较少，但是如果关注各种WEB程序的漏洞，就可以发现，其实这些漏洞的文章其实就是一个例子。不过由于国内研究PHP的人比研究ASP的人实在少太多，所以，可能没有注意，况且PHP的安全性比ASP高很多，导致很多人不想跨越这个门槛。
　　尽管如此，在PHP站点日益增多的今天，SQL注入仍是最有效最麻烦的一种攻击方式，有效是因为至少70% 以上的站点存在SQL Injection漏洞，包括国内大部分安全站点，麻烦是因为MYSQL4以下的版本是不支持子语句的，而且当php.ini里的 magic_quotes_gpc 为On 时。提交的变量中所有的 ‘ (单引号), ” (双引号), \ (反斜线) and 空字符会自动转为含有反斜线的转义字符。给注入带来不少的阻碍。
　　早期的时候，根据程序的代码，要构造出没有引号的语句形成有效的攻击，还真的有点困难，好在现在的技术已经构造出不带引号的语句应用在某些场合。只要有经验，其实构造有效的语句一点也不难，甚至成功率也很高，但具体情况具体分析。首先要走出一个误区。

注：在没有具体说明的情况下，我们假设magic_quotes_gpc均为off。

php+Mysql注入的误区

　　很多人认为在PHP+MYSQL下注入一定要用到单引号，或者是没有办法像MSSQL那样可以使用“declare @a sysname select @a=<command> exec master.dbo.xp_cmdshell @a”这类的命令来消除引号，其实这个是大家对注入的一种误解或这说是对注入认识上的一种误区。
　　为什么呢？因为不管在什么语言里，在引号（包括单双）里，所有字符串均是常量，即使是dir这样的命令，也紧紧是字符串而已，并不能当做命令执行，除非是这样写的代码：

　　否则仅仅只是字符串，当然，我们所说的命令不单指系统命令，我们这里说的是SQL语句，要让我们构造的SQL语句正常执行，就不能让我们的语句变成字符串，那么什么情况下会用单引号？什么时候不用呢？看看下面两句SQL语句：

　　两种写法在各种程序中都很普遍，但安全性是不同的，第一句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行，而第二句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子分别提交两个成功注入的畸形语句，来看看不同之处。

　　看出来了吗？由于第一句有单引号，我们必须先闭合前面的单引号，这样才能使后面的语句作为SQL执行，并要注释掉后面原SQL语句中的后面的单引号，这样才可以成功注入，如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数，我们的攻击就会化为乌有，但第二句没有用引号包含变量，那我们也不用考虑去闭合、注释，直接提交就OK了。
　　大家看到一些文章给出的语句中没有包含单引号例如pinkeyes的《php注入实例》中给出的那句SQL语句，是没有包含引号的，大家不要认为真的可以不用引号注入，仔细看看PHPBB的代码，就可以发现，那个$forum_id所在的SQL语句是这样写的：

　　由于没有用单引号包含变量，才给pinkeyes这个家伙有机可乘，所以大家在写PHP程序的时候，记得用单引号把变量包含起来。当然，必要的安全措施是必不可少的。

简单的例子

　　先举一个例子来给大家了解一下PHP下的注入的特殊性和原理。当然，这个例子也可以告诉大家如何学习构造有效的SQL语句。
　　我们拿一个用户验证的例子，首先建立一个数据库和一个数据表并插入一条记录，如下：

　　验证用户文件的代码如下：

　　这时我们提交：

　　就会返回：

　　看到了吗？单引号闭合后，并没有注释掉后面的单引号，导致单引号没有正确配对，所以由此可知我们构造的语句不能让Mysql正确执行，要重新构造：

　　这时显示“登陆成功”，说明成功了。或者提交：

　　这样就把后面的语句给注释掉了！说说这两种提交的不同之处，我们提交的第一句是利用逻辑运算，在ASP中运用可以说是非常广泛的，这个不用说了吧？第二、三句是根据mysql的特性，mysql支持/*和#两种注释格式，所以我们提交的时候是把后面的代码注释掉，值得注意的是由于编码问题，在IE地址栏里提交#会变成空的，所以我们在地址栏提交的时候，应该提交%23，才会变成#，就成功注释了，这个比逻辑运算简单得多了，由此可以看出PHP比ASP强大灵活多了。
　　通过上面的例子大家应该对PHP+MYSQL的注入有个感性的认识了吧？

语句构造

　　PHP+MYSQL注入的博大精深不仅仅体现在认证体系的饶过，语句的构造才是最有趣味的地方，但构造语句和ACCESS、MSSQL都有少许不同，但同样可以发挥得淋漓尽致。看下面的例子。

一、搜索引擎

　　网上有一大堆的PHP程序搜索引擎是有问题的，也就是提交特殊字符可以显示所有记录，包括不符合条件的，其实这个危害也不算大，因为允许用户输入关键字进行模糊查询的地方大多数都允许检索所有的记录。很多查询的设计就是这样的。
　　查询是只读的操作应该不会对数据产生破坏作用，不要太担心。不过泄露隐私不知道算不算危害，下面是一个标准的搜索引擎：

　　一般程序都是这样写的，如果缺乏变量检查，我们就可以改写变量，达到“注入”的目的，尽管没有危害，当我们输入“___” 、“.__ ”、“%”等类似的关键字时，会把数据库中的所有记录都取出来。如果我们在表单提交：

　　SQL语句就被改变成下面的样子了，

　　就会列出所有记录，包括被隐藏的，还可以改变排列顺序。这个虽然危害不大，也算是注入的一种方式了吧？

二、查询字段

　　查询字段又可以分成两种，本表查询和跨表查询，这两种查询和ACCESS、MSSQL差不多，甚至更强大、更灵活、更方便。不知道为什么就是有人认为比ASP难？我们在ASP中经常使用的个别函数在PHP里要有小小的改动，如下：

① 本表查询

　　看下面一条SQL语句，多用在论坛或者会员注册系统查看用户资料的，

　　当我们提交的用户名为真时，就会正常返回用户的ID，如果为非法参数就会提示相应的错误，由于是查询用户资料，我们可以大胆猜测密码就存在这个数据表里（现在我还没有碰见过密码是单独存在另一个表的程序），记得刚才的身份验证程序吗？和现在的相比，就少了一个AND条件，如下：

　　相同的就是当条件为真时，就会给出正确的提示信息，如果我们构造出后面的AND条件部分，并使这部分为真，那我们的目的也就达到了，还是利用刚才建立的user数据库，用户名为angel，密码为mypass，
看了上面的例子，应该知道构造了吧，如果我们提交：

　　这个是绝对为真的，因为我们这样提交上面的SQL语句变成了下面的样子：

　　但在实际的攻击中，我们是肯定不知道密码的，假设我们知道数据库的各个字段，下面我们就开始探测密码了，首先获取密码长度：

　　在ACCESS中，用LEN()函数来获取字符串长度，在MYSQL中，要使用LENGTH()，只要没有构造错误，也就是说SQL语句能正常执行，那返回结果无外乎两种，不是返回用户ID，就是返回“该记录不存在”。当用户名为angel并且密码长度为6的时候返回真，就会返回相关记录，是不是和ASP里一样？再用LEFT()、RIGHT()、MID()函数猜密码：

　　看，密码不是出来了吗？简单吧？当然实际情况会有不少条件限制，下面还会讲到这个例子的深入应用。

② 跨表查询

　　这部分就和ASP有点出入了，除了一定要用UNION连接两条SQL语句，最难掌握的就是字段的数量，如果看过MYSQL参考手册，就知道了在 SELECT 中的 select_expression (select_expression 表示你希望检索的列[字段]) 部分列出的列必须具有同样的类型。第一个 SELECT 查询中使用的列名将作为结果集的列名返回。简单的说，也就是UNION后面查选的字段数量、字段类型都应该与前面的SELECT一样，而且，如果前面的SELECT为真，就同时返回两个SELECT的结果，当前面的SELECT为假，就会返回第二个SELECT所得的结果，某些情况会替换掉在第一个SELECT原来应该显示的字段，如下图：

　　看了这个图直观多了吧？所以应该先知道前面查询表的数据表的结构。如果我们查询两个数据表的字段相同，类型也相同，我们就可以这样提交:

　　如果字段数量、字段类型任意一个不相同，就只能搞清除数据类型和字段数量，这样提交：

　　否则就会报错：

　　如果不知道数据类型和字段数量，可以用1来慢慢试，因为1属于int\str\var类型，所以我们只要慢慢改变数量，一定可以猜到的。如果不能马上理解上面的理论，后面有很详细的例子。
　　我们看看下面的数据结构，是一个简单的文章数据表。

　　这个表的字段类型分别是int、varchar、text，如果我们用UNION联合查询的时候，后面的查询的表的结构和这个一样。就可以用“SELECT *”，如果有任何一个不一样，那我们只能用“SELECT 1,1,1,1……”了。

　　下面的文件是一个很标准、简单的显示文章的文件，很多站点都是这种页面没有过滤，所以成为最明显的注入点，下面就拿这个文件作为例子，开始我们的注入实验。

正常情况下，我们提交这样的一个请求：

　　就会显示articleid为1的文章，但我们不需要文章，我们需要的是用户的敏感信息，就要查询user表，现在是查询刚才我们建立的user表。
　　由于$id没有过滤给我们制造了这个机会，我们要把show.php文件中的SQL语句改写成类似这个样子：

　　由于这个代码是有单引号包含着变量的，我们现在提交：

　　按道理说，应该显示用户表的username、password两个字段的内容才对啊，怎么正常显示文章呢？如图：

　　其实，我们提交的articleid=1是article表里存在的，执行结果就是真了，自然返回前面SELECT的结果，当我们提交空的值或者提交一个不存在的值，就会蹦出我们想要的东西：

　　如图：

　　现在就在字段相对应的地方显示出我们所要的内容。如果还不清楚思路以及具体的应用，后面还会讲到一些高级的技巧。

三、导出文件

　　这个是比较容易构造但又有一定限制的技术，我们经常可以看见以下的SQL语句：

　　但这样的语句，一般很少用在程序里，有谁会把自己的数据导出呢？除非是备份，但我也没有见过这种备份法。所以我们要自己构造，但必须有下面的前提条件：

• 必须导出到能访问的目录，这样才能下载。
• 能访问的目录必须要有可写的权限，否则导出会失败。
• 确保硬盘有足够的容量能容下导出的数据，这个很少见。
• 确保要已经存在相同的文件名，会导致导出失败，并提示：“File ‘c:/file.txt’ already exists”，这样可以防止数据库表和文件例如/etc/passwd被破坏。

　　我们继续用上面的user.php和show.php两个文件举例，如果一个一个用户猜解实在是太慢了，如果对方的密码或者其他敏感信息很复杂，又不会写Exploit，要猜到什么时候啊？来点大范围的，直接导出全部数据好了。user.php文件的查询语句，我们按照into outfile的标准格式，注入成下面的语句就能导出我们需要的信息了：

　　知道怎么样的语句可以实现我们的目的，我们就很容易构造出相应的语句：

　　出现了错误提示，但从返回的语句看来，我们的SQL语句确实是注入正确了，即使出现错误，也是查询的问题了，文件还是乖乖的被导出了，如图：

　　由于代码本身就有WHERE来指定一个条件，所以我们导出的数据仅仅是满足这个条件的数据，如果我们想导出全部呢？其实很简单，只要使这个WHERE条件为假，并且指定一个成真的条件，就可以不用被束缚在WHERE里了，来看看经典1=1发挥作用了：

　　实际的SQL语句变为：

　　这样username的参数是空的，就是假了，1=1永远是真的，那or前面的WHERE就不起作用了，但千万别用and哦，否则是不能导出全部数据的。
　　既然条件满足，在这种情况下就直接导出所有数据！如图：

　　但是跨表的导出文件的语句该怎么构造呢？还是用到UNION联合查询，所以一切前提条件都应该和UNION、导出数据一样，跨表导出数据正常情况下应该相下面的一样：

　　这样可以导出文件了，如果我们要构造就提交：

　　文件是出来了，可是有一个问题，由于前面的查询articleid=’1′为真了，所以导出的数据也有整个文章的一部分，如图：

　　所以我们把应该使前面的查询语句为假，才能只导出后面查询的内容，只要提交：

　　这样才能得到我们想要的资料：

　　值得注意的是想要导出文件，必须magic_quotes_gpc没有打开，并且程序也没有用到addslashes()函数，还有不能对单引号做任何过滤，因为我们在提交导出路径的时候，一定要用引号包含起来，否则，系统不会认识那是一个路径，也不用尝试用char()或者什么函数，那是徒劳。

INSERT

　　如果大家认为MYSQL中注入仅仅适用于SELECT就大错特错了，其实还有两个危害更大的操作，那就是INSERT和UPDATE语句，这类例子不多，先面先说说INSERT，这主要应用于改写插入的数据，我们来看个简单而又广泛存在的例子，看看下面的数据结构：

　　其中的userlevel代表用户的等级，1是普通用户，2是普通管理员，3是超级管理员，一个注册程序默认是注册成普通用户，如下：

　　默认userlevel字段是插入1，其中的变量都是没有经过过滤就直接写入数据库的，不知道大家有什么想法？对，就是直接注入，使我们一注册就是超级管理员。我们注册的时候，构造$homepage变量，就可以达到改写的目的，指定$homepage变量为：

　　插入数据库的时候就变成：

　　这样就注册成为超级管理员了。但这种利用方法也有一定的局限性，比如，我没有需要改写的变量如userlevel字段是数据库的第一个字段，前面没有地方给我们注入，我们也没有办法了。
或许INSERT还有更广泛的应用，大家可以自行研究，但原理都是一样的。

UPDATE

　　和INSERT相比，UPDATE的应用更加广泛，如果过滤不够，足以改写任何数据，还是拿刚才的注册程序来说，数据结构也不变，我们看一下用户自己修改自己的资料，SQL语句一般都是这样写的：

　　用户可以修改自己的密码和主页，大家有什么想法？总不至于还是提升权限吧？程序中的SQL语句又没有更新userlevel字段，怎么提升啊？还是老办法，构造$homepage变量, 指定$homepage变量为：

　　整个SQL语句就变成这样：

　　我们是不是又变成超级管理员了？程序不更新userlevel字段，我们自己来。
还有更加绝的，直接修改任意用户的资料，还是刚才的例句，但这次安全一点，使用MD5加密：

　　尽管密码被加密了，但我们还是可以构造我们需要的语句，我们指定$password为：

　　这时整个语句变为：

　　这样就更改了更新的条件，我管你后面的代码是不是在哭这说：我们还没有执行啊。当然，也可以从$id下手，指定$id为：

　　这时整个语句变为：

　　照样也可以达到修改的目的，所以说注入是非常灵活的技术。如果有些变量是从数据库读取的固定值，甚至用$_SESSION['username']来读取服务器上的SESSION信息时，我们就可以在原来的WHERE之前自己构造WHERE并注释掉后面的代码，由此可见，灵活运用注释也是注入的技巧之一。这些技巧把注入发挥得淋漓尽致。不得不说是一种艺术。
　　变量的提交方式可以是GET或POST，提交的位置可以是地址栏、表单、隐藏表单变量或修改本地COOKIE信息等，提交的方式可以是本地提交，服务器上提交或者是工具提交，多种多样就看你如何运用了。

高级应用

1、 使用MYSQL内置函数

　　我们在ACCESS、MSSQL中的注入，有很多比较高级的注入方法，比如深入到系统，猜中文等，这些东西，在MYSQL也能很好得到发挥，其实在MYSQL有很多内置函数都可以用在SQL语句里，这样就可以使我们能在注入时更灵活，得到更多关于系统的信息。有几个函数是比较常用的：

　　各个函数的具体作用大家可以查阅MYSQL手册，比如下面这句UPDATE：

　　我们可以指定$title为以上的各个函数，因为没有被引号包含，所以函数是能正确执行的：

　　灵活运用MYSQL内置的函数，可以获得不少有用的信息，比如数据库版本、名字、用户、当前数据库等，比如前面跨表查询的例子，提交：

　　可以看到一篇文章，我们怎么样才能知道MYSQL数据库的相关信息呢？同样也是用MYSQL内置函数配合UNION联合查询，不过相比之下就简单得多了，甚至还可以读取文件！既然要用到UNION，同样要满足UNION的条件——字段数、数据类型相同。如果我们知道了数据结构，直接构造：

　　就可以返回当前数据库名和数据库版本，构造是比较容易的。
　　下面附上一段由我好友Super·Hei写的代码，可以把字符串转换为ASCII代码。感谢提供。

2、不加单引号注入

注：现在我们假设magic_quotes_gpc为on了。

　　众所周知，整形的数据是不需要用引号引起来的，而字符串就要用引号，这样可以避免很多问题。但是如果仅仅用整形数据，我们是没有办法注入的，所以我需要把我们构造的语句转换成整形类型，这个就需要用到CHAR()，ASCII(),ORD(),CONV()这些函数了，举个简单的例子：

　　如何使$username不带引号呢？很简单我们这样提交就可以了。

　　其他函数大家自己去测试好了，但是前提就如上面所说的，我们可以构造的变量不被引号所包含才有意义，不然我们不管构造什么，只是字符串，发挥不了作用，比如前面猜密码的例子(user,php)，我们把查询条件改为userid：

　　按照正常的，提交：

　　就可以查询userid为1的用户资料，因为1是数字，所以有没有引号都无所谓，但是如果我们构造：

　　绝对错误，因为mypass是字符串，除非提交：

　　由于magic_quotes_gpc打开的关系，这个是绝对不可能的。引号会变成/’，我们有什么办法可以把这些字符串变成整形数据吗？就是用CHAR()函数，如果我们提交：

　　正常返回，实践证明，我们用CHAR()是可行的，我们就把CHAR()用进LEFT函数里面逐位猜解！

　　正常返回，说明userid为1的用户，password字段第一位是char(109)，我们继续猜：

　　又正常返回，说明正确，但这样影响到效率，既然是整形，我们完全可以用比较运算符来比较：

　　然后适当调整char()里面的数字来确定一个范围，很快就可以猜出来，到了后面的时候，还是可以用比较运算符来比较：

　　而原来已经猜好的不用改变了，很快就可以猜完：

　　然后在mysql>命令提示符下或者在phpMyadmin里面执行：

　　就会返回：mypass

　　当然也可以使用SUBSTRING(str,pos,len)和MID(str,pos,len)函数，从字符串 str 的 pos 位置起返回 len 个字符的子串。这个和ACCESS是一样的。还是刚才的例子，我们猜password字段的第三位、第四位试试，第三位是p，第四位是a，我们这样构造：

　　我们要的结果就迸出来了。当然，如果觉得麻烦，还可以用更简单的办法，就是利用ord()函数，具体作用可以去查看MYSQL参考手册，该函数返回的是整形类型的数据，可以用比较运算符进行比较、当然得出的结果也就快多了，也就是这样提交：

　　这样我们就得出结果了，然后我们再用char()函数还原出来就好了。至于其他更多函数，大家可以自己去试验，限于篇幅也不多说了。

3、快速确定未知数据结构的字段及类型

　　如果不清楚数据结构，很难用UNION联合查询，这里我告诉大家一个小技巧，也是非常有用非常必要的技巧，充分发挥UNION的特性。
　　还是拿前面的show.php文件做例子，当我们看到形如xxx.php?id=xxx的URL的时候，如果要UNION，就要知道这个xxx.php查询的数据表的结构，我们可以这样提交来快速确定有多少个字段：

　　有多少个“1”就表示有多少个字段，可以慢慢试，如果字段数不相同，就肯定会出错，如果字段数猜对了，就肯定会返回正确的页面，字段数出来了，就开始判断数据类型，其实也很容易，随便用几个字母代替上面的1，但是由于magic_quotes_gpc打开，我们不能用引号，老办法，还是用char()函数，char(97)表示字母“a”，如下：

　　如果是字符串，那就会正常显示“a”，如果不是字符串或文本，也就是说是整形或布尔形，就会返回“0”，如图：

　　判断最主要靠什么？经验，我以前一直都说，经验很重要，丰富经验能更好的作出正确的判断，因为程序的代码是千变万化的，我们这里是只是举个最简单的例子，这里由于局限性，程序都是我自己写、自己测试的。方法因程序而异。希望大家在实战中，注意区别，不要照搬，灵活运用才是根本。

4、猜数据表名

　　在快速确定未知数据结构的字段及类型的基础上，我们又可以进一步的分析整个数据结构，那就是猜表名，其实使用UNION联合查询的时候，不管后面的查询怎么“畸形”，只要没有语句上的问题，都会正确返回，也就是说，我们可以在上面的基础上，进一步猜到表名了，比如刚才我们提交：

　　返回正常的内容，就说明这个文件查询的表内是存在3个字段的，然后我们在后面加入from table_name，也就是这样：

　　如果这个表是存在的，那么同样会返回应该显示的内容，如果表不存在，当然就会出错了，所以我的思路是先获得有漏洞的文件所查询表的数据结构，确定结果后再进一步查询表，这个手工操作是没有效率的问题的，不到一分钟就可以查询到了，比如我们在测试www.***bai.net就是这样，后面的实例会涉及到。
　　但是有一个问题，由于很多情况下，很多程序的数据表都会有一个前缀，有这个前缀就可以让多个程序共用一个数据库。比如：

　　如果安全意识高的话，管理员会加个表名前缀，那猜解就很麻烦了，不过完全可以做一个表名列表来跑。这里就不多说了，后面会有一个具体的例子来解开一切迷茫^_^……

实例

　　下面对一个国内非常出名的站点进行善意的攻击测试，来对上面的知识进行一次大概的验证，出于影响等诸多因素，我们称这个站点为HB(www.***bai.net)，HB使用的是夜猫的文章系统和下载系统，不过文章系统已经升级了，我们就不看了，下载系统是绝对有问题的，不过由于我现在写文章的电脑不上网，我用相同的下载系统在本地进行一次模拟的测试。实际上，我事前早用更狠毒的技术渗透过HB。
　　首先我们找到有问题的文件，show.php?id=1，我们马上看看数据结构和表名，看看HB有没有改字段和表名，我早知道夜猫下载系统1.0.1版的软件信息的表有19个字段，就提交：

　　注意，这里有19个“1”，返回正常的页面，我可以可以肯定字段没有变，我们也就别拖拉了，直接看看夜猫的默认用户数据表是否存在：

　　正常返回，如图，如果URL不清楚可以看标题那里：

　　嗯，这个HB还真是够懒的，这么烂的程序也不知道先修改一下再用，不过也是，没有多少人和我一样有闲心先去加固程序才用的，再看默认的用户id还在不在？

　　忘记了，就算不存在id为1的用户，前面的查询是真的，照样会正常返回数据库的软件信息，我们只能让前面的查询为假，才能使后面查询的结果显示出来，但我们要注意一点，show.php文件里面有这样一段代码：

　　也就是说我们的ID的值再怎么离谱也不能在0和999999999之外，HB的软件肯定不会超过10000个的，我们就提交：

　　正常返回了，表格里的数据全部是“1”，说明ID还在哦。如果不存在的话，页面只返回的数据全部是不详，因为程序的判断是如果数据为空就显示不详。现在确定了ID存在后，还要确定是不是管理员才行啊：

　　程序规定groupid为1是超级管理员，既然都返回正确信息了，我们就直接构造畸形语句，暴出我们需要的用户名和密码，嘿嘿，首先看看ymdown表的数据结构，因为show.php是查询它的，所以我们应该看它的数据结构。

　　用户名和密码的数据类型都是varchar，所以我们要选择ymdown表里数据类型是varchar来，如果把varchar的数据写到int的地方当然是不可能显示的了，由于updatetime（更新日期）的长度是20，可能会出现显示不完全的情况，我们就把用户名显示在name（软件标题）那里，密码显示在size（文件大小）那里好了，在19个“1”中，name和size分别是第二个和第四个，我们提交：

　　结果成功返回了我们所需要的用户名和密码，如图：

验证测试结果

　　整个渗透过程就结束了，不过由于黑白把入口给改了，无法登陆，但我们仅仅测试注入，目的已经达到了，就没有必要进后台了，我后来又继续构造SQL语句来验证我们获取的密码是否正确，依次提交：

　　用select char(49,50,51,52,53,54)就可以得到123456。
　　OK！测试结束，验证我们的结果没有错误。说明一下，密码本身是123456，可以不用ord()函数而直接猜，但为了大家能看到一个完整的过程，我还是“专业”一点好了。下面补一幅截图，是本文写完后，重新测试HB时截取的：

注入的防范

　　防范可以从两个方面着手，一个就是服务器，二个就是代码本身，介绍服务器配置的文章很多了，无非就是把magic_quotes_gpc设置为On，display_errors设置为Off，这里也就不在多说，既然本文接触都是程序的问题，我们还是从程序本身寻找原因。
　　如果说php比asp易用，安全，从内置的函数就可以体现出来。如果是整形的变量，只需使用一个intval()函数即可解决问题，在执行查询之前，我们先处理一下变量，如下面的例子就是很安全的了：

　　或者这样写：

　　不管如何构造，最终还是会先转换为整形猜放入数据库的。很多大型程序都是这样写，非常简洁。
　　字符串形的变量也可以用addslashes()整个内置函数了，这个函数的作用和magic_quotes_gpc一样，使用后，所有的 ‘ (单引号), ” (双引号), \ (反斜线) and 空字符会自动转为含有反斜线的溢出字符。而且新版本的php，就算magic_quotes_gpc打开了，再使用addslashes()函数，也不会有冲突，可以放心使用。例子如下：

　　或者这样写：

　　使用addslashes()函数还可以避免引号配对错误的情况出现。而刚才的前面搜索引擎的修补方法就是直接把“_”、“%”转换为“\_”“\%”就可以了，当然也不要忘记使用addslashes()函数。具体代码如下：

　　不用像ASP那样，过滤一点变量，就要写一大堆的代码，就是上面的一点点代码，我们就可以把本文所有的问题解决了，是不是很简便.

随机日志

• 02/09/2010 -- RIPE (0)
• 10/12/2009 -- 冷月轻聆帖子原文 (0)
• 06/03/2009 -- 通用与四川腾中重工就出售悍马达成初步协议 (0)
• 02/07/2010 -- altushost稳定性及侵权问题 (0)
• 02/09/2010 -- 2.9 (1)

要实现Session的永久生命期，首先需要了解一下php.ini关于Session的相关设置（打开php.ini文件，在“[Session]”部分）：
1、session.use_cookies：默认的值是“1”，代表SessionID使用Cookie来传递，反之就是使用Query_String来传递；
2、session.name：这个就是SessionID储存的变量名称，可能是Cookie，也可能是Query_String来传递，默认值是“PHPSESSID”；
3、session.cookie_lifetime：这个代表SessionID在客户端Cookie储存的时间，默认是0，代表浏览器一关闭SessionID就作废……就是因为这个所以Session不能永久使用！
4、session.gc_maxlifetime：这个是Session数据在服务器端储存的时间，如果超过这个时间，那么Session数据就自动删除！
还有很多的设置，不过和本文相关的就是这些了，下面开始讲使用永久Session的原理和步骤。

前面说过，服务器通过SessionID来读取Session的数据，但是一般浏览器传送的SessionID在浏览器关闭后就没有了，那么我们只需要人为的设置SessionID并且保存下来，不就可以……
如果你拥有服务器的操作权限，那么设置这个非常非常的简单，只是需要进行如下的步骤：
1、把“session.use_cookies”设置为1，打开Cookie储存SessionID，不过默认就是1，一般不用修改；
2、把“session.cookie_lifetime”改为正无穷（当然没有正无穷的参数，不过999999999和正无穷也没有什么区别）;
3、把“session.gc_maxlifetime”设置为和“session.cookie_lifetime”一样的时间；
设置完毕后，打开编辑器，输入如下的代码：
————————————————————————————
<?
session_start();
session_register(\’count\’);
$count++;
echo $count;
?>
————————————————————————————
然后保存为“session_check.php”，用浏览器打开“session_check.php”，看看显示的是不是“1”，再关闭浏览器，然后再打开浏览器访问“session_check.php”，如果显示“2”，那么恭喜了，你已经成功；如果失败的话，请检查你前面的设置。

但是如果你没有服务器的操作权限，那就比较麻烦了，你需要通过PHP程序改写SessionID来实现永久的Session数据保存。查查php.net的函数手册，可以见到有“session_id”这个函数：如果没有设置参数，那么将返回当前的SessionID，如果设置了参数，就会将当前的SessionID设置为给出的值……
只要利用永久性的Cookie加上“session_id”函数，就可以实现永久Session数据保存了！
但是为了方便，我们需要知道服务器设置的“session.name”，但是一般用户都没有权限查看服务器的php.ini设置，不过PHP提供了一个非常好的函数“phpinfo”，利用这个可以查看几乎所有的PHP信息！
————————————————————————————

<?phpinfo()?>
————————————————————————————
打开编辑器，输入上面的代码，然后在浏览器中运行这个程序，会见到PHP的相关信息（如图1所示）。其中有一项“session.name”的参数（图中已经标出），这个就是我们需要的服务器“session.name”，一般是“PHPSESSID”。
记下了SessionID的名称后，我们就可以实现永久的Session数据储存了！
打开编辑器，输入下面的代码：
————————————————————————————
<?
session_start(); // 启动Session
session_register(\’count\’); // 注册Session变量Count
if(isset($PHPSESSID)) {
session_id($PHPSESSID);
} // 如果设置了$PHPSESSID，就将SessionID赋值为$PHPSESSID，否则生成SessionID
$PHPSESSID = session_id(); // 取得当前的SessionID
$count++; // 变量count加1
setcookie(\’PHPSESSID\’, $PHPSESSID, time()+3156000); // 储存SessionID到Cookie中
echo $count; // 显示Session变量count的值
?>
————————————————————————————

保存之后，利用和刚才拥有服务器权限时候的检测一样的方法，检测是否成功的保存了SessionID。

随机日志

• 07/08/2009 -- Zen-Cart的URL地址后面带有?zenid=[参数],解决方法 (4)
• 06/08/2010 -- FlashFXP 命令行参数 (6)
• 06/08/2009 -- 3个可用的博客提交页面 (1)
• 09/07/2009 -- 辞 (4)
• 02/06/2010 -- LiteSpeed web服务器 (0)

域名停放服务一般是提供域名停放提供商，会做了一程序页面，让你把需要停放的域名解析到他的IP上，程序会根据来访的域名显示你的域名在这广告页面的上方。如果有人通过访问后，有点击广告你将得到收入。 　　所以，有的域名投资者会把域名做停放，达到用空域名赚钱的目的。 　　一些不明的朋友，会发现，好像是许多域名都是同一个人似的，因为他看见页面相似就这样认为了。其实是不同域名爱好者在同一个站做的域名停放。

如果您有一个理想的域名或者带有流量（即：访问量）的域名，但您又不想立即使用域名建立网站，这时您可以选择域名停放服务为您的域名自动生成包含了广告赞助商链接的广告网页，广告赞助商为通过您的域名所带来的广告、点击效果而付费，而您（域名所有者）将从域名停放服务中分享收益

比较出名的域名停靠商有sedo.com等

随机日志

• 08/29/2009 -- 如何查询一台虚拟主机或一个IP上绑定了多少个域名？ (6)
• 06/18/2009 -- Linux操作系统IPTables配置方法 (0)
• 05/30/2009 -- php和mysql里的日期比较 (0)
• 06/25/2009 -- 笑 (0)
• 07/13/2009 -- email 发信人伪装 (2)

随机日志

• 09/03/2009 -- HTTP请求报文格式 (0)
• 09/27/2009 -- SEO黑链——典型的造黑链爬上google首页的网站 (2)
• 05/28/2009 -- Nginx服务器安装Magento (1)
• 08/12/2009 -- 框架中的“target” (0)
• 01/30/2009 -- mysql数据库错误 1289 解决办法 (0)

随机日志

• 09/13/2009 -- 3389端口 (1)
• 07/14/2009 -- 热烈庆祝思力员工突破700人 (2)
• 10/07/2009 -- ZARA与Inditex (0)
• 09/25/2009 -- Craigslist (0)
• 12/04/2009 -- 12.4 (4)

第一个紧裹着下半部，以致于我不知道他到底想着什么，这太正常了，也很传统，和他刚追的女孩子很相似，虽然他不是很传统

2.  他把全身裹起来了，睡着了，鬼知道在想着什么，不过这是最强的，所谓最强，不过武力，在所提起过的；然报，我想我应该挑战高一级别的；毕竟，重量级也是个问题，别说什么比狠，我们都讲文明，不像李展

3.  文化哥，一提起这个我就觉得自己没文化，没文化犯罪么？不是，但我还是想起了文化，文化也包括艺术吧。我的女朋友也和艺术有点沾边，我不喜欢她玩艺术，或搞艺术，就算我知道艺术和科学也有点沾边，以前有点，现在变了味，或许个人之见，见到的人太少了

四、一哥，他的E文飞常好，所以我不得不服啊，希望再接再力啊，更希望中文也好，更希望能。。。

唉，不说了，他除了童子功，不会喝酒

随机日志

• 07/30/2009 -- 修改centos服务器默认语言 (0)
• 04/07/2010 -- php远程下载文件到服务器 (0)
• 10/09/2009 -- 网站SEO优化方案 (3)
• 07/15/2009 -- 第三个头 (1)
• 09/13/2009 -- 台湾留法女学生杨雅晴”在巴黎吻百个男人” (1)