开始挑战第十八关(Header Injection - Uagent field - Error based)
常见的HTTP注入点产生位置为【Referer】、【X-Forwarded-For】、【Cookie】、【X-Real-IP】、【Accept-Language】、【Authorization】;
(1)HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
(2)X-Forwarded-For:简称XFF头,它代表客户端,用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中
(3)Cookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)
(4)X-Real-IP一般只记录真实发出请求的客户端IP,看下面的例子,
X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3
代表 请求由1.1.1.1发出,经过三层代理,第一层是2.2.2.2,第二层是3.3.3.3,而本次请求的来源IP4.4.4.4是第三层代理
如果配置了X-Read-IP,将会是:
X-Real-IP: 1.1.1.1
所以 ,如果只有一层代理,这两个头的值就是一样的
(5)Accept-Language请求头允许客户端声明它可以理解的自然语言,以及优先选择的区域方言
来吧来吧,先看看页面长什么样,看看和之前的也没什么变化,只是这里多了个一个your ip address is 127.0.0.1
搜嘎,这里估摸着是要记录你每次访问的ip地址,以前看到过uagent注入,翻翻文章,果断有了骚思路。
先看看源代码
这里看见两个参数都被check了一番 不用考虑 了 那么从用户输入的数据不可信的角度来讲 我们该 从哪里下手呐
我们看到了$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES (‘$uagent‘, ‘$IP‘, $uname)";将useragent和ip插入到数据库中,那么我们是不是可以用这个来进行注入呢?首先这里要输入正确的账号和密码才能绕过账号密码判断,才能进入处理uagent部分,
说句实话 注入的条件有点苛刻 必须要前面的密码和用户名审核正确才能注入 我滴天 我弄了半天 我的用户名 admin 密码空
0X02接下里开始我们的注入之旅
经过这次尝试可以看到:修改XFF头对IP没有影响,登陆成功会回显你的User-Agent。
这里要输入正确的账号和密码才能绕过账号密码判断,进入处理User-Agent部分。这跟现实中的注册登录再注入是比较贴合。
所以注入点就在User-Agent处
加入单引号 在user-agent的地方
看见报错信息
猜想在数据中的sql语句为:INSEERT INTO table VALUES('User-Agent','Ip','Username')
接下来我们尝试在User-Agent的位置进行注入测试,我们修改User-Agnet的值使其符合整个INSERT INTIO 的语法,闭合后就应该为
INSEERT INTO table VALUES('1' ,1,1)#','Ip','Username'),成功绕过
,相当于将sql语句改变成INSEERT INTO table VALUES('1)','Ip','Username')
并没有报错 成功绕过
1',1,1')#报错了 这里三个一的意思是要插入3个数据
而且还爆出了正确的值应该是什么
好的宝贝 那我们开始构造我们的语句
0X03爆数据库
1',1,updatexml(1,concat(0x3a,database(),0x3a),1)a)#
0X04爆表名
User-Agent: 1',1,updatexml(1,concat(0x3a,(select table_name from information_schema.tables where table_schema='security'),0x3a),1))#
得到报错 这句话
Subquery returns more than 1 ro
百度翻译结果
子查询返回1个以上的ro
意思就是叫我们用limit嘛
成功
好的 今天的学习这个从早上学到了晚上
虽然还是不懂 但是还是得学习
接下来我会去仔细了解updatexml这个函数再mysql中的作用
切记 学习勿要浮躁 少就是多