mysql - 网站被利用，疑似SQL注入(inject)+PHP检查绕过，但无法解释后者是如何进行的

Question

背景:

我几年前做的一个网站最近被攻击了；攻击者设法访问了我为客户端制作的用于上传文件的 PHP 前端，他们设法上传了一些包含漏洞的 PHP 文件，例如基于 PHP 的文件管理器。如果有兴趣，我可以发布每个上传的 PHP 文件的内容，但问题当然是他们设法访问了客户端的前端。

该站点自创建以来一直未更新(它使用旧的和已弃用的 MySQL 函数并且没有 mysql_real_escape_string() 来检查登录面板中的输入(我知道))，但是我不完全确定他们是通过 SQL 注入(inject)获得访问权限的。

vhost 在 Windows/Parallels Plesk 上运行，我既没有 SSH 访问权限也没有访问日志的权限:我已经向托管服务提供商开了一张票，要求提供日志，但是我不确定他们是否可以提供它们以及这样做需要多少费用，因此在此期间我不会再冒任何风险，我正在尝试自己利用可疑的缺陷。

我能够在用于检索用户数据的 SQL 语句中执行注入(inject)以绕过用户检查，但是我无法在之后立即破解密码检查，这是在 PHP 中完成的。

长话短说

以下是用于检索用户数据和检查密码的相关片段:我能够在 SQL 语句中执行注入(inject)(例如使用 "OR ""=" 作为用户名)，但是我无法在之后立即破解密码检查:

<?PHP
// ...
else {
    $query='SELECT * FROM users WHERE username="' . $username . '";';
    $query_result=mysql_query($query);
    if(!$query_result) {
        die (mysql_error());
    }
    else {
        $user_data=mysql_fetch_array($query_result);
        if($user_data && $user_data['password']==$password) {
            session_start();
            $_SESSION['user_id']=$user_data['id'];
            $_SESSION['user_username']=$user_data['username'];
            $_SESSION['user_password']=$user_data['password'];
            $_SESSION['user_privileges']=$user_data['privileges'];
            session_write_close();
            $next_page='control_panel.php';
        }
        else {
            $next_page='login.php?notify=username_password_wrong';
        }
    }
}
mysql_close($mysql_connect);
// ...
?>

打破这样的检查是否可行？还是我的怀疑完全错了，我应该去别处寻找弱点？

Answer 1

简答:

通过 if 语句检查密码是不够的。通过 SQL 注入(inject)和对身份验证脚本源的访问，他们拥有完全访问所需的一切。

长答案:

我们已经确定您的身份验证脚本容易受到 SQL 注入(inject)攻击。您还将代码描述为非常古老且未更改。由此可以合理地假设运行此应用程序的 Web 服务器也很旧且已过时。

如果您在此服务器上启用了 register_globals，那么直接设置 $_SESSION 值将非常容易——绕过您的 if 声明密码检查。就像使用以下 URI 提交 GET 请求一样简单:site.php?_SESSION[user_id]=12345。

如果黑客能够上传他们自己的 PHP 文件，那么他们当然能够获得您的身份验证脚本的完整代码，并确定是否启用了 register_globals。

Further reading关于 register_globals 的安全隐患。

这只是他们完全破坏您的应用程序的一种可能方式。但老实说，如果他们使用 SQL 注入(inject)来获取所有用户的凭据并且他们将可执行文件上传到您的帐户，那么他们有十亿种方法可以完全破坏您的应用程序。