[zkaq靶场]SQL注入--Header注入

最新推荐文章于 2023-03-24 19:17:42 发布
最新推荐文章于 2023-03-24 19:17:42 发布
阅读量264 收藏
点赞数 1
分类专栏: zkaq靶场 文章标签: sql sql注入 数据库 header注入 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/116544652
版权
本文探讨了SQL注入攻击的一种变种——Header注入,主要关注User-Agent和Referer字段。通过构造特定的HTTP头部信息,攻击者可以利用程序的漏洞获取敏感信息,如数据库名,并通过limit逐条读取数据。此外,还提到了程序获取用户IP时可能存在的注入点,特别是HTTP_X_FORWARDED_FOR字段。
摘要由CSDN通过智能技术生成

SQL注入–Header注入

SQL注入回顾:网络安全笔记-99-渗透-SQL注入

Header注入一

登录成功后,浏览器会存储一些信息.

此处经过判断为User-Agent字段.

抓包如下:


使用报错注入:由于updatexml的第二个参数需要xpath 格式的字符串,concat函数用~符号开头不是xml的语法,所以就会将括号内的执行结果以错误的形式报出,这样就实现了报错注入。
对User-Agent字段进行注入.
User-Agent: 1' or updatexml(1,(concat(0x7e,(select database()))),1) and ' -- qwe


再进行剩余操作就可以获取flag.由于updatexml报错只显示一条数据,所以需要使用limit逐个爆出数据。

Header注入二

此处的注入点为Refer字段.

Header注入三

此处的程序需要获取用户的IP,使用了多个字段来获取用户的IP.
包括(HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR,HTTP_X_FORWARDED,HTTP_FORWARDED_FOR,HTTP_FORWARDED_FOR,HTTP_FORWARDED,REMOTE_ADDR)
我们可以选取其中的任意一个字段,通常情况下,程序获取用户IP是使用的是
HTTP_X_FORWARDED_FOR字段.
当数据包中不含该字段时,我们在数据包中自己构造该字段.(经测试,不区分大小写)

们在数据包中自己构造该字段.(经测试,不区分大小写)

wwxxee
关注
专栏目录
SQL注入之Head注入(一)
Mr.Huang_的博客
08-17 432
Head注入之User-Agent注入 靶场环境:http://inject2.lab.aqlab.cn:81/Pass-07/index.php 攻击流程 正确登录时用burp抓包。 测试head部分是否存在漏洞。 获取信息。 测试开始:   测试目标获取管理员账号密码   一些需要提前掌握的函数 组成 head中有访问者的各种信息,而通讯时我们若能抓到这些数据包,并将头部中这些身份信息修改则为HEAD注入。抓包实例如下(使用burp): 举列 就像图中User-Agent本意是表示你是哪种访问方式
[zkaq靶场]SQL注入--布尔盲注
wwxxee
05-08 197
布尔盲注 常用函数 length() 返回字符串长度 substring() substr() mid() 截取字符串: 参数1:字符串 参数2:起始位置,索引从1开始 参数3:截取长度 concat() 不带分隔符链接字符串 concat_ws() 带分隔符链接字符串: concat_ws(’-’,‘a’,‘b’,‘c’) group_concat() 链接一组查询结果字符串 ord() ascii() 返回字符串的ASCII值 left() 从左边开始截取字符串: 参数1:字符串 参数2:截取的长度 l
[zkaq靶场]SQL注入--POST注入
wwxxee
05-08 473
SQL注入–POST注入 POST注入 POST型注入与GET型注入没有本质区别 POST注入一 输入账号密码,然后抓包 检测出单引号闭合的方式,接下来就可以进行注入. 检测出字段数 username=admin’ order by 3–+&password=1&submit=%E7%99%BB%E5%BD%95 检测回显点 ![] 爆库 username=admin1’ union select 1,2,database()–+&password=1&su
SQL注入之Head注入(三)
Mr.Huang_的博客
08-17 239
Head注入之ip注入 靶场环境:http://inject2.lab.aqlab.cn:81/Pass-09/index.php 在平时上网冲浪中,我们经常去访问一起网站,比如我们经常访问的百度 但是面对越来越多的用户来访问,如果只有一台服务器,那么肯定会崩掉, 那么就有很多台服务器来处理这些请求,以此来满足用户的需求, 1.通过代理来找到离用户最近的服务器。 你提出请求 > 代理商(CDN)> 最近服务器处理你的请求并返回你想要的数据 服务器只会记录下代理商的ip,而不会记录下你的ip,这就
MSSQL-反弹注入(zkaq靶场)
v2ish1yan的博客
04-29 3419
MSSQL就是sql server 他跟mysql进行注入的方式有所不同 这里写两种方法 1.联合查询注入 首先mssql使用联合查询时,是不能用select 1,2,3这样填充的,必须要和表中的数据类型一样,但是可以使用null来填充 首先来猜字段 order by 3时正确,order by 4时错误 所以字段数为3 然后进行猜数据类型。先 ?id=1’ union all select NULL,NULL,NULL – qwe 回显正常 挨个测试数据类型 ?id=1’ union all sele
[zkaq靶场]SQL注入--MSSQL反弹注入
wwxxee
05-08 446
MSSQL反弹注入 使用场景 明明是SQL注入点,但是使用工具注入缓慢,或者错误提示信息关闭,无法返回注入结果等。较好的解决办法就是使用反弹注入。 核心 反弹注入的核心就是opendatasouce()函数。 将查询的数据结果插入到我们自己的数据库中。 opendatasource 为了方便理解,可以看理解为 ‘使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。 语法: OPENDATASOURCE(provider_name,init_string) provider_n
[zkaq靶场]SQL注入--DNS-LOG注入
wwxxee
05-08 252
DNS注入 介绍 在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起请求,这个时候就可以通过DNS请求把想获得的数据外带出来。 对于sql盲注,常见的方法就是二分法去一个个猜,但是这样的方法麻烦不说,还很容易因为数据请求频繁导致被ban。 所以可以将select到的数据发送给一个url,利用dns解析产生的记录日志来查看数据。 原理 通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接
[zkaq靶场]SQL注入--显错注入
wwxxee
05-08 229
SQL注入—显错注入 显错注入注入点测试 通过id =1 and 1=1 正常显示,id=1 and 1=2 不正常显示,判断此处存在数字型注入。 判断回显点 http://inject2.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 3–+ 判断出3列。 http://inject2.lab.aqlab.cn:81/Pass-01/index.php?id=1 union select 1,2,3–+ 判断出回显点 查询库名 查询表名 http:
iwebsec靶场SQL注入-bool盲注
最新发布
qq_56041380的博客
03-24 406
bool注入是盲注的一种。它于报错注入不同,布尔注入没有任何报错信息输出,页面返回只有正常和不正常两种状态,攻击者只能通过返回的这两种状态来对其进行判断输入的SQL注入语句是否正确,从而判断数据库中存储了那些信息。
DNS-log注入zkaq靶场
v2ish1yan的博客
04-21 1331
DNS-log注入
SQL注入-显错注入Rank 1
purvispanwu的博客
12-18 2480
网络安全,sql注入
[zkaq靶场]XSS--DOM型XSS
wwxxee
05-09 508
DOM型xss 知识点 DOM(document object model)文档对象模型 一个网页是由dom树构建而成,而js可以修改页面元素,也就是可以修改dom树中的节点。客户端可以通过js动态修改页面内容从而进行xss攻击。 dom型xss常见函数: document.write():写入网页内容(可以接受native编码) innerHTML:修改节点内容 eval:将字符串当作代码执行 靶场 首页:是一个聊天室 查看页面代码发现此处使用了document.write()。 而页面的url跟文本
[zkaq靶场]XSS--存储型XSS
wwxxee
05-09 444
存储型XSS 靶场 靶场cms是Fine CMS,其版本为v5.3.0。 搜索该cms的漏洞。 参考:https://www.jianshu.com/p/200ea62486d9 简单来说就是,该cms会将错误日志写入文件,但是写入过程中没有对错误信息过滤,直接写入了文件。然后该cms后台提供错误日志查看功能,错误日志信息直接读取上述文件,当管理员在后台查看错误日志时,程序从文件中读取日志信息。所以攻击点在于控制错误日志的信息。 当错误日志写入文件的信息可控时,管理员在后台查看错误日志,就可以触发xs
[zkaq靶场]SQL注入--access数据库-偏移注入
wwxxee
05-09 424
Access注入–偏移注入 适用场景: 当使用select * from admin与select admin.* from admin等价时,就可以在不知道字段名的情况下获取数据。 union select 1,2,3,admin.* ,4,5,6 from admin 通过偏移admin.*的位置来获得不同字段的数据,这时就不需要知道字段名了。 靶场 该处的sql注入为access数据库-cookie注入的漏洞点。 偏移注入的漏洞点在: 由于admin表里新增了一个字段,无法通过爆破得出,所以在此处
[zkaq靶场]文件上传
wwxxee
05-09 299
文件上传靶场 准备工作 一个php一句话木马:oneword.php <?php @eval($_REQUEST[6]);?> 一个图片马 copy cat.jpg/b + oneword.php new_cat.jpg 正常图片:cat.jpg 图片马:new_cat.jpg 第一关 前端验证绕过,形同虚设,通过抓包修改即可。 上传oneword.jpg,通过bp抓包修改为oneword.php 将filename修改为oneword.php,即可成功上传。 复制图片地址,打开菜刀。
[zkaq靶场]代码执行--DouPHP-v1.5漏洞
wwxxee
05-10 1033
代码执行 相关函数与语句 eval():会将字符串当作代码来执行。 <?php @eval($_REQUEST["code"])?> 单双引号输出问题: assert():如果传入字符串会被当做PHP代码来执行 <?php @assert($_REQUEST["code"])?> 与eval的区别:eval可以执行多行,而assert只能执行一行。 当assert想要执行多行时,可以利用写文件的方式: file_put_contents("123.php","<?php
[zkaq靶场]SQL注入--access数据库-cookie注入
wwxxee
05-08 233
Access注入–Cookie注入 知识点 Cookie注入常见吗? 老一点的ASP网站常见,PHP看版本,因为高于5.2以上的php版本他的$_REQUEST将不再接受cookie传参 COOKIE注入时为什么要删除URL内的id传参 因为它传参进去会有一个输出,cookie里我们也传参了一个id数值,他会优先接受GET的传参,具体也是要看语言的,我测试过,PHP会优先接受Cookie传参. 为什么可以cookie注入 因为在这里接受参数的时候使用了REQUEST,他可以接受get 和POST 和 CO
内网渗透靶场(上)加入目标网段,抓取管理员密码 #zkaq
anlalu233的博客
09-17 1407
1、探测是否有sql注入: (1)从ur看, 传递了id=1这个参数;这里有可能涉及到和数据库交互,为了确认是否存在sql注入,这里故意构造and 1=2这个false的条件,看看页面返回啥: (2)果然页面报错,说明存在sql注入,并且还有个关键信息:当前页面在C:\phpStudy\WWW\这个目录下; (3)通过order by看看当前表有多少字段:order by 2是正常的,order by 3就异常了,说明有2个字段; (4)接着看看页面有没有报错点,方便后续观察结果...
变量覆盖 --- zkaq
weixin_38237216的博客
04-27 1944
1.概念 1.变量覆盖:变量覆盖指的是可以用我们的传参值替换程序原有的变量值 2.常见的变量覆盖的危险函数 extract()函数:将数组中变成变量 举例:<?php $a = “1”; $my_array = array(“a” => “Cat”,“b” => “Dog”, “c” => “Horse”); extract($my_array); echo “$a = $a; $b = $b; $c = $c”; ?> 运行结果:$a = Cat; $b = Dog; $
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值