Web攻防03_MySQL注入_数据请求

PHP-MYSQL-数据请求类型

SQL语句由于在黑盒中是无法预知写法的，SQL注入能发成功是需要拼接原SQL语句，大部分黑盒能做的就是分析后各种尝试去判断，所以有可能有注入但可能出现无法注入成功的情况。究其原因大部分都是原SQL语句的未知性导致的拼接失败！

由于开发者对于数据类型和SQL语句写法（框架写法）导致SQL注入拼接失败

1、数字型(无符号干扰)

select * from news where id=$id;

若用户输入字符，sql语句则会报错

2、字符型（有符号干扰）

select * from news where id=‘$id’;

若条件为int，也可设为字符型，带上单引号，这样即使用户输入为字符也不会报错，只是查不出来。

3、搜索型（有多符号干扰）

select * from news where id like ‘%$id%’

4、框架型（有各种符号干扰）

select * from news where id=(‘$id’);

select * from news where (id=‘$id’);

PHP-MYSQL-数据请求方法

在很多漏洞中都有应用到。

请求方法不同，就会有不同的注入点

如果代码审计时发现一个注入点，则需要找到它的请求方法，如Get、Post，进行相应的测试

通过不同的请求方法也有可能绕过一些WAF

数据请求方法

GET POST SERVER FILES HTTP头等

GET：

URL后的参数

POST：

一般看不到的传参，用户登录、文件上传等功能会用到，需要用burpsuite抓包调试较方便。

Cookie：

比较少

SERVER

可以获取User-Agent、Cookie、Rerferer、Host、X-FORWARDED-FOR（用于XFF注入）等

• User-Agent：

使得服务器能够识别客户使用的操作系统，浏览器版本等.（很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中）

• Cookie：

网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据

• X-Forwarded-For：

简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP,（通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]）.

网站有接收&验证IP的功能，并且使用PHP的HTTP_X_FORWARDED_FOR就会有安全隐患，它可以通过修改数据包进行伪造。

该注入是由于数据库存储IP导致的，如果IP配置到代码中，就不会产生过注入了。

但是配置到代码中也会有绕过隐患。

• Rerferer：

浏览器向 WEB 服务器表明自己是从哪个页面链接过来的（访问来源）

• Host：

客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号

有些网站会记录访问者的IP信息，作为日志等功能，有该功能，就有可能有该漏洞

功能点举例：

1、用户登录时

一般多为POST请求

2、登录判断IP时

PHP特性中的**$_SERVER[‘HTTP_X_FORWARDED_FOR’];**接受IP的绕过（绕过）

实现：代码配置固定IP去判断-策略绕过

实现：数据库白名单IP去判断-select注入

实现：防注入记录IP去保存数据库-insert注入

3、文件上传将文件名写入数据库-insert注入

文件上传时，会将文件名写入数据库，此时将文件名作为注入的语句。

PHP-MYSQL-数据请求格式

1、数据采用统一格式传输，后端进行格式解析带入数据库（json）

2、数据采用加密编码传输，后端进行解密解码带入数据库（base64）

需要在注入时将注入语句编码，再进行注入。

工具也不知道它有编码/加密，需要手工测出来后告诉工具如何加密的，再由工具测