SQL注入_1-6_user-agent注入

SQL注入_1-6_user-agent注入

一.概念

User Agent中文名为用户代理，简称 UA，它是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、CPU
类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面，因此可能造成某些页面无法在某个浏览器中正常显示，但通过伪装 UA
可以绕过检测。

二.观察没有过滤useragent的代码

1.提交post参数的password和username，将涵name的参数传递给value变量

2.过滤参数字符，以及固定字节

插入user-agent，赋值给￥uagent
没有做过滤

在sql语句中直接使用插入函数，没有做任何过滤

由此判断存在SQL注入

二.模拟实战演练
打开less-18

代理截断

重放 攻击

这3个图应该放前面，放错了，
但是也可以看看

这里解释一下
第一个参数可以是任意数字，这里我们设置为一，
第二个是小path字符
第三个是就是自己需要的数据

concat是用来链接数据库的数据的

因为此函数会导致数据库报错

所以就可以看到我们想要的数据

好，我们接着刚刚的来
’ and updatexml(1,concat(0x7e,(select database()),0x7e),1) or ‘1’='1
在user-agent处输入MySQL的报错函数
可以看到爆出了数据库名

由此推测出，user-agent处是存在sql注入的

在需要测试的地方加上*，并保存到root目录下

直接暴库

算了，太慢了，我们直接报当前使用的数据库
由于暴库需要时间，所以我们最后在看结果，先看看下一个注入

接着来看看 referer注入
可以看到Referer头储存在了变量uagent中

又直接带入SQL语句
没有过滤
由此推断
存在sql注入

好，我们打开less-19
输入账号密码，然后代理截断

输入反斜杠，MySQL报错，由此推断存在sql注入

刚刚那条语句，也爆出了数据库名
这里我们使用其他方法

使用基于时间的注入
我们可以看到没有时间注入时
服务器响应时间为1秒左右

加时间注入以后
’ or (length(database()))>9 or if(1=1,sleep(5),null) or ‘1’ ='1
服务器响应为6秒
，由此推断存在基于时间的盲注

解释一下这条语句
判断数据库名是否大于9
或者 如果1=1 则，睡眠5秒，
最后‘1’ =’1 是为了闭合前面的单引号，否则会报错

方法一样，在存在注入的地方加*号然后打包到root目录下，进行探测就不一一举例了

当我们需要探测输入参数是否存在注入时
可以 --data=‘参数’
当然，与我们这次不同，因为这次用户输入的参数已经被过滤
所以用了也探测不出来

最后我们再来看看user-agent探测那个窗口

可以看到，使用基于时间的方法，已经报出了他的数据库名
其他具体的注入就不一一写了