转自:upload/200903191923345328.gif" target="_blank">
注入的路径如下所示:
/var/www/backdoor.php
注入的后门如下所示:
用于Windows上默认安装的XAMPP的漏洞利用代码:
 |
| 图2 |
注入路径如下所示:
c:/xampp/htdocs/backdoor.php
注入的后门如下所示:
可以通过下列方式来访问植入的后门:
http://10.1.1.10/backdoor.php?e=phpinfo();
需要注意的是,这个攻击只需要GET请求,对于JavaScript或者ActionScript来说都不是必需的,因此,NoScript也拿它没辙!
三、技术细节
现在对漏洞代码做一个详细的解释。首先,下面SQL查询将被执行:
 |
| 图3 |
由于第一个SQL查询是选择整数值,因此会使用MySQL函数char()。之后的PHP代码用于建立一个定制的有效载荷,当前的有效载荷是:。不过在前面看到的是经过编码的,其编码方法如下所示:
 |
| 图4 |
这个漏洞在于phpMyAdmin的./phpmyadmin/libraries/db_table_exists.lib.php文件中没有正确地过滤table参数:
 |
| 图5 |
PMA_sqlAddslashes()函数仅禁用了单引号,但忽略了反勾号(`)和双引号("),因此远程攻击者可以通过提交恶意请求执行SQL注入攻击。
这种攻击不是XSRF的教科书式的例子,因为phpMyAdmin具有XSRF的防御措施。保护请求的令牌是以一种安全的方式来生产的,具体见./phpmyadmin/libraries/session.ic.php文件的第96行,如下所示:
 |
| 图6 |
该安全漏洞是由于一些请求变量未受到令牌的保护而引起的,具体见./phpmyadmin/libraries/common.inc.php文件的第389行,如下所示:
 |
| 图7 |
下面是PMA_remove_request_vars() 函数的定义:
 |
| 图8 |
注意这个函数声明中的&。PMA_remove_request_vars($whitelist )通过引用来传递变量,但是这个函数没有使用变量的引用。这里人们还是太迷信它了,因为它对自己的代码没有影响。
四、补丁
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12100。
五、小结
本文将向读者介绍了一种基于跨站请求伪造的SQL注入技术。PhpMyAdmin是目前最流行的PHP项目,在现实中PhpMyAdmin已被大量采用。今年12月初,人们在PhpMyAdmin的3.1.0版本中发现了一个漏洞,不过这个漏洞的利用方法有些特别,那就是需要利用跨站请求伪造来进行SQL注入。本文将向读者介绍受影响的版本以及对这些版本软件的具体攻击方法,最后对出现漏洞的代码进行了详细的分析。
原创文章如转载,请注明:转载自心动吧黑客BLOG [ http://www.abcxd.com/abcxd/ ]
本文链接地址:http://www.abcxd.com/abcxd/abcxdArticle/qtoday/XSRF-sql.html