如何針對(duì)Mysql漏洞測(cè)試您自己的Web服務(wù)器

第1步：設(shè)置測(cè)試環(huán)境

要測(cè)試代碼，您應(yīng)該設(shè)置一個(gè)測(cè)試環(huán)境?？梢栽谟?jì)算機(jī)上使用xampp或lampp完成此操作。當(dāng)然，您可以自己用php設(shè)置一個(gè)Apache網(wǎng)絡(luò)服務(wù)器。

您將需要一個(gè)網(wǎng)絡(luò)服務(wù)器，一個(gè)mysql數(shù)據(jù)庫和一個(gè)運(yùn)行中的php解釋器來執(zhí)行代碼。

步驟2：示例數(shù)據(jù)庫

對(duì)于我們的測(cè)試案例，我們使用一個(gè)非常基本的數(shù)據(jù)庫，其中有兩個(gè)用戶。使用md5算法保護(hù)密碼。只需在數(shù)據(jù)庫上運(yùn)行以下mysql代碼即可創(chuàng)建表：

SET SQL_MODE = “NO_AUTO_VALUE_ON_ZERO”;

SET AUTOCOMMIT = 0;

START TRANSACTION;

SET time_zone = “+00:00”;

CREATE TABLE IF NOT EXISTS `user` （

`id` bigint（15） NOT NULL，

`email` varchar（255） NOT NULL，

`password` varchar（32） NOT NULL

） ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=3 ;

INSERT INTO `user` （`id`， `email`， `password`） VALUES

（1， ‘admin@mysite.com’， ‘b655e3f4ae881514c4896b9cd707e4d2’），

（2， ‘guest@mysite.com’， ‘5d41402abc4b2a76b9719d911017c592’）;

ALTER TABLE `user`

ADD PRIMARY KEY （`id`）;

ALTER TABLE `user`

MODIFY `id` bigint（15） NOT NULL AUTO_INCREMENT，AUTO_INCREMENT=3;COMMIT;

步驟3：關(guān)于密碼安全性的簡短介紹

全世界的計(jì)算能力正在飛速增長，md5不再是強(qiáng)大的哈希算法。所使用的哈希是使用以下密碼生成的：

b655e3f4ae881514c4896b9cd707e4d2 = top secret password that will never be cracked that fast

5d41402abc4b2a76b9719d911017c592 = hello

由于存在彩虹表之類的東西，即使google本身也是一個(gè)很好的密碼破解機(jī)。當(dāng)您搜索“ 5d41402abc4b2a76b9719d911017c592”時(shí)，第一個(gè)結(jié)果是明文密碼。當(dāng)您在Google中搜索“ b655e3f4ae881514c4896b9cd707e4d2”時(shí)，由于輸入字符串太長而無法使用蠻力方法破解，因此您將不會(huì)獲得任何結(jié)果。

因此：請(qǐng)使用在任何詞典中都不會(huì)出現(xiàn)的長密碼！/p》

步驟4：示例代碼

出于測(cè)試原因，我編寫了這個(gè)小腳本。它打開一個(gè)數(shù)據(jù)庫連接，提供一個(gè)表單，并嘗試在數(shù)據(jù)庫中查找與您輸入的憑據(jù)（電子郵件和密碼）匹配的用戶。只需將腳本保存在Web服務(wù)器上，然后將文件命名為“ mysql-injection.php”即可。當(dāng)數(shù)據(jù)庫名稱不同時(shí)，可能必須為“ mysql_select_db”函數(shù)更新數(shù)據(jù)庫名稱：

error_reporting（E_ALL ^ E_DEPRECATED）;

mysql_connect（‘localhost’， ‘root’， ‘’）;

mysql_select_db（‘mysql-injection’）;

if （！empty（$_POST［‘email’］） && ！empty（$_POST［‘password’］））

{

$query = ‘SELECT * FROM `user` WHERE `email` = \’‘.$_POST［’email‘］?！痋‘ AND `password` = \’‘.md5（$_POST［’password‘］）?！痋‘’;

echo ‘Used query： ’，$query，‘’;

$resource = mysql_query（$query）;

$matches = mysql_num_rows（$resource）;

if （$matches 》 0）

{

$user = mysql_fetch_assoc（$resource）;

echo ‘Hello ’.$user［‘email’］?！?！’;

}

else

{

echo ‘Invalid credentials！’;

}

}

？》

Log in to get privileges！

Mail：

Password：

步驟5：測(cè)試腳本

要開始使用，只需在Web瀏覽器上調(diào)用腳本即可。在我的情況下，該網(wǎng)址為http://sand.box:8081/mysql-injection.php，因?yàn)槲覍ⅰ?sand.box”路由為“ 127.0.0.1”。您只需調(diào)用http://sand.box:8081/mysql-injection.php或http://sand.box:8081/mysql-injection.php即可使其正常工作。

我們現(xiàn)在可以使用以下憑據(jù)測(cè)試登錄：

admin@mysite.com:top secret password that will never be cracked that fast

guest@mysite.com:hello

如您在屏幕快照中所見，腳本返回“ Hello ”以證明您的登錄憑據(jù)正確。使用任何其他組合可獲得“無效的憑據(jù)！”錯(cuò)誤。

這是有效的用戶身份驗(yàn)證。但是它非常危險(xiǎn)。請(qǐng)查看下一步，了解原因。

步驟6：幕后花絮

由于腳本輸出了用于選擇正確用戶的數(shù)據(jù)庫查詢，因此您可以看到背后發(fā)生了什么現(xiàn)場。當(dāng)您以管理員身份登錄時(shí)，以下查詢：

‘SELECT * FROM `user` WHERE `email` = \’‘.$_POST［’email‘］。’\‘ AND `password` = \’‘.md5（$_POST［’password‘］）?！痋‘’

計(jì)算為：

‘SELECT * FROM `user` WHERE `email` = \’admin@mysite.com\‘ AND `password` = \’‘.md5（’top secret password that will never be cracked that fast‘）?！痋‘’

，然后計(jì)算為：

‘SELECT * FROM `user` WHERE `email` = \’admin@mysite.com\‘ AND `password` = \’b655e3f4ae881514c4896b9cd707e4d2\‘’

，發(fā)送到mysql數(shù)據(jù)庫的是：

SELECT * FROM `user` WHERE `email` = ‘a(chǎn)dmin@mysite.com’ AND `password` = ‘b655e3f4ae881514c4896b9cd707e4d2’

因此，只需通過電子郵件地址和密碼選擇一個(gè)用戶。在這種情況下，這是對(duì)郵件驗(yàn)證的可靠期望。變量$ _POST ［‘email’］在附加到查詢之前是不安全的，因此我們可以在此處注入很多邪惡的東西。 $ _POST ［‘password’］變量在被隱式存儲(chǔ)到數(shù)據(jù)庫查詢之前被傳遞給md5（），因此這是“意外的安全”，因?yàn)閙d5（）僅返回?cái)?shù)字和字符，沒有任何東西會(huì)使我們的查詢崩潰。 》

步驟7：破解！

正如我們?cè)谏弦徊街辛私獾降哪菢樱? _ POST ［‘email’］是我們的后門。因此，當(dāng)您輸入以下電子郵件時(shí)，您可以以所需的任何用戶身份登錄。對(duì)于ID為1的用戶：

test@test.de‘ OR `id` = 1 OR 1 = ’

對(duì)于ID為2的用戶：

test@test.de‘ OR `id` = 2 OR 1 = ’

如您所見，使用的mysql查詢?nèi)缦拢?/p>

SELECT * FROM `user` WHERE `email` = ‘test@test.de’ OR `id` = 1 OR 1 = ‘’ AND `password` = ‘098f6bcd4621d373cade4e832627b4f6’

由于查詢中沒有括號(hào)，因此我們可以通過在電子郵件中傳遞一個(gè)‘來停止字符串。之后，我們可以修改查詢本身。因此，我們僅添加另一個(gè)與用戶ID相關(guān)的“ OR”條件。這使電子郵件和密碼已過時(shí)，因?yàn)橐坏?OR”條件為真，mysql就會(huì)停止檢查條件。因此，如果我們的數(shù)據(jù)庫中有一個(gè)ID為“ 1”的用戶，我們便已登錄。

步驟8：保護(hù)您的代碼

要確保此代碼安全，只需轉(zhuǎn)義用戶輸入即可。例如，可以使用mysql_real_escape_string方法來完成此操作。另一個(gè)功能可能是斜杠。因此，“安全”解決方案將使用：

mysql_real_escape_string（$_POST［’email‘］）

而不是

$_POST［’email‘］

所以這是最終的php代碼：

$query = ’SELECT * FROM `user` WHERE `email` = \‘’.mysql_real_escape_string（$_POST［‘email’］）?！甛’ AND `password` = \‘’.md5（$_POST［‘password’］）?！甛’‘;

計(jì)算的查詢?yōu)椋?/p>

SELECT * FROM `user` WHERE `email` = ’test@test.de\‘ OR `id` = 1 OR 1 = \’‘ AND `password` = ’098f6bcd4621d373cade4e832627b4f6‘

因此，您可以看到，字符串中的單引號(hào)現(xiàn)在已轉(zhuǎn)義，不再結(jié)束mysql字符串。這將導(dǎo)致查詢搜索以下電子郵件地址：

test@test.de\’ OR `id` = 1 OR 1 = \‘

當(dāng)然，這將失敗，因?yàn)閿?shù)據(jù)庫中沒有匹配的電子郵件。

第9步：僅僅為了獲得一個(gè)想法

編寫此指令是為了在一個(gè)非?；镜那闆r下獲得mysql注入的想法。在2015年，您不會(huì)自己編寫php應(yīng)用程序，而是使用可以為您處理大部分安全性和數(shù)據(jù)庫內(nèi)容的框架和庫。但是您應(yīng)該知道在幕后發(fā)生了什么事，以便快速，安全地編寫代碼。

例如，一個(gè)好的解決方案是使用symfony2框架。