你的位置:聚盟网 >> 网络学院 >> 防护 >> 详细内容 在线投稿

突破伪静态的四种注入方法

www.juoooo.com  2012年3月14日07:36  来源: 互联网   查看:   我要评论(0)  收藏  字号: TTT
伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。目前来看,防止注入的最有效的方法就是使用LINQ。常规的伪静态页面如下:http://www.badguest.cn/play/Diablo.html, 在看到之前先要确定这个页面是静态还是伪静态,鉴别方法很多。

例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php?action=play& name=Diablo 的形式,当然这部分是PHP执行的所以在访问时看不到。假如name=Diablo这个参数有注入点但是访问的是伪静态页面,那么注入的语句其实差不多,不过如果是MYSQL数据库是不能用注释符的,因 为注释的斜杠会被当成目录访问,那么就会出现问题,所以这里的注入需要把语句补全。

注入点检测可以用:http://www.XXX.com/play/Diablo’and 1=’1.html与http://www.XXX.com/play/Diablo’and 1=’2.html来判断,联合查询我也试过,不过失败了。我用的语句如下:http://www.XXX.com/play/diablo’and 1=2 union select 1,2…from information_schema.columns where 1=’1.html,但是测试了N次都不能成功,有可能程序的SQL语句后面还有其他条件,具体原因没仔细看。

所以这个时候只能用盲注来检测,不过因为伪静态注入的URL比较特殊,一般的注入工具是利用不了的,所以就把刺猬写的COOKIES注入中转器的get方式注入的代码修改了一下,只要把注入的参数写成Diablo ,然后在提交的语句后面加上.html那么就可以直接放到穿山甲里注入了。

注入的速度就看中转的速度了,感觉用低版本的穿山甲效果更好,高版本有可能因为速度比较快所以在猜解字母的时候会导致部分内容检测不到。为了更好的解释伪静态,先看看种伪静态的php实现方法:


代码
//伪静态方法一

// localhost/php100/test.php?id|1@action|2
$Php2Html_FileUrl = $_SERVER["REQUEST_URI"];
echo $Php2Html_FileUrl.”
”;// /php100/test.php?id|1@action|2
$Php2Html_UrlString = str_replace(“?”,”",str_replace(“/”, “”, strrchr(strrchr($Php2Html_FileUrl, “/”),”?”)));
echo $Php2Html_UrlString.”
”;// id|1@action|2
$Php2Html_UrlQueryStrList = explode(“@”, $Php2Html_UrlString);
print_r($Php2Html_UrlQueryStrList);// Array ( [0] => id|1 [1] => action|2 )
echo “
”;
foreach($Php2Html_UrlQueryStrList as $Php2Html_UrlQueryStr)
{
$Php2Html_TmpArray = explode(“|”, $Php2Html_UrlQueryStr);
print_r($Php2Html_TmpArray);// Array ( [0] => id [1] => 1 ) ; Array ( [0] => action [1] => 2 )
echo “
”;
$_GET[$Php2Html_TmpArray[0]] = $Php2Html_TmpArray[1];
}
//echo ‘假静态:$_GET变量
’;
print_r($_GET); // Array ( [id|1@action|2] => [id] => 1 [action] => 2 )
echo “
”;
echo “”;
echo $_GET[id].”
”;// 1
echo $_GET[action];// 2
?>

代码
//伪静态方法二

// localhost/php100/test.php/1/2
$filename = basename($_SERVER[''SCRIPT_NAME'']);
echo $_SERVER[''SCRIPT_NAME''].”
”;// /php100/test.php
echo $filename.”
”;// test.php

if(strtolower($filename)==’test.php’){
if(!empty($_GET[id])){
$id=intval($_GET[id]);
echo $id.”
”;
$action=intval($_GET[action]);
echo $action.”
”;
}else{
$nav=$_SERVER[''REQUEST_URI''];
echo “1:”.$nav.”
”;// /php100/test.php/1/2
$script=$_SERVER[''SCRIPT_NAME''];
echo “2:”.$script.”
”;// /php100/test.php
$nav=ereg_replace(“^$script”,”",urldecode($nav));
echo $nav.”
”; // /1/2
$vars=explode(“/”,$nav);
print_r($vars);// Array ( [0] => [1] => 1 [2] => 2 )
echo “
”;
$id=intval($vars[1]);
$action=intval($vars[2]);
}
echo $id.’&’.$action;
}
?>

代码
//伪静态方法三

function mod_rewrite(){
global $_GET;
$nav=$_SERVER["REQUEST_URI"];
echo $nav.”
”;
$script_name=$_SERVER["SCRIPT_NAME"];
echo $script_name.”
”;
$nav=substr(ereg_replace(“^$script_name”,”",urldecode($nav)),1);
echo $nav.”
”;
$nav=preg_replace(“/^.ht(m){1}(l){0,1}$/”,”",$nav);//这句是去掉尾部的.html或.htm
echo $nav.”
”;
$vars = explode(“/”,$nav);
print_r($vars);
echo “
”;
for($i=0;$i
$_GET["$vars[$i]“]=$vars[$i+1];
}
return $_GET;
}
mod_rewrite();
$year=$_GET["year"];//结果为’2006′
echo $year.”
”;
$action=$_GET["action"];//结果为’_add’
echo $action;
?>

代码
//伪静态方法四

//利用server变量 取得PATH_INFO信息 该例中为/1,100,8630.html 也就是执行脚本名后面的部分
if(@$path_info =$_SERVER["PATH_INFO"]){
//正则匹配一下参数
if(preg_match(“/\/(\d+),(\d+),(\d+)\.html/si”,$path_info,$arr_path)){
$gid =intval($arr_path[1]); //取得值1
$sid =intval($arr_path[2]); //取得值100
$softid =intval($arr_path[3]); //取得值8630
}else dIE(“Path:Error!”);
//相当于soft.php?gid=1&sid=100&softid=8630
}else dIE(‘Path:Nothing!’);
?>
代码
PHP防注入,主要是为了防止恶意写入后台数据库;
//防注入函数
function inject_check($sql_str){
$check=eregi(‘select|insert|update|delete|\’|\/\*|\*|\.\.\/|\.\/|union|into|load_file
|outfile’, $sql_str);
if($check){
echo ” 输入非法内容”;
exit();
}else{
return $sql_str;
}
}
//接收传递参数后进行转换
$_GET[type]=inject_check($_GET[type]);
//之后再使用转换后的参数

第1篇章:突破伪静态的四种注入方法

第2篇章:突破伪静态的四种注入方法(2)

编辑: 小雪
分享到:
顶:87 踩:97
【已经有571人表态】
85票
超赞
52票
震惊
72票
不解
61票
愤怒
71票
支持
75票
高兴
72票
无聊
83票
杯具
发表评论

网友评论仅供网友表达个人看法,并不表明本网同意其观点或证实其描述。

查看全部回复【已有0位网友发表了看法】
糗事吧 牛吧 私房话 经典吧
祝福墙许愿墙
随手记-天天记帐本
邀请达人
2013祝福短信,节日祝福语