Less 29

基于错误_GET_双服务器_单引号_字符型注入

看着真喜庆啊。

0x01. 参考教程

网上的大部分 Sqli-Labs 的教程都比较零散且很不系统，平时做题时参考的有：

1. windows下sqli-labs的搭建及学习
   该作者只写到了 Less 17，但这些写的非常详细，所用函数也有详细介绍。我的 Less 1 到 Less 17 主要是参考此教程。
2. 通过sqli-labs学习sql注入
   该作者只写到了 Less 28a，但同样非常详细，有的关卡提供了非常多的解题方法。我的 Less 18 到 Less 28a 主要是参考此教程。
3. MySQL注入天书
   这是见过方向掌握最好的教程，有所用技术的背景介绍，作者提供了 pdf 版下载。我的 Less 29 及以后主要是参考此教程。
4. 一航师傅WP
   这应该是一航的早期 WP，基本上用于参考盲注脚本，对于其他很多并没有详细介绍。

0x02. Tomcat的配置

网上大部分对 Less 29 - Less 31 的教程都是错的，只考虑了 php 服务器，而这三关实际上是两层服务器架构，在做这三关之前需要把 Tomcat 为引擎的 jsp 服务器搭好。

Tomcat 在学 JavaEE 时已经安装过，安装步骤也很简单，只是安装完需要配置一下Tomcat/conf/server.xml中的项目发布文件夹appBase：

<Host name="localhost"  appBase="D:/Web-jsp" unpackWARs="true" autoDeploy="true">

注意：Tomcat部署多个项目有两种方式，单端口或多端口：Tomcat下部署多个项目。

然后下载mysql-connector-java.jar包，放入Tomcat/lib中，然后把它加入系统环境变量。
配置完后将Sqli-Labs文件夹中的tomcat-files.zip解压至 Tomcat 的项目发布文件夹，并修改其中index.jsp中的转发链接为自己 php 项目发布文件夹的链接，以及自己 MySQL 的用户名和密码。
至此便可以正常访问 Less 29 - Less 32 的 jsp 文件了。

0x03. 服务器（两层）架构

注：截图等来自《MySQL注入天书：Less 29》

服务器端有两个部分：第一部分为 tomcat 为引擎的 jsp 型服务器，第二部分为 apache 为引擎的 php 服务器，真正提供 web 服务的是 php 服务器。

工作流程为：client 访问服务器，能直接访问到 tomcat 服务器，然后 tomcat 服务器再向 apache 服务器请求数据。数据返回路径则相反。

接下来是参数解析的问题。
问：index.php?id=1&id=2，这时回显是id=1还是id=2呢？
答：apache (php) 解析最后一个参数，即回显id=2；tomcat (jsp) 解析第
一个参数，即回显id=1。

大多数服务器对于参数解析：

这里有一个新问题。
问：index.jsp?id=1&id=2，针对这关的两层结构，客户端请求首先过 tomcat，tomcat 解析第一个参数，接下来 tomcat 请求 apache，apache 解析最后一个参数。那么最终返回客户端的是哪个参数？
答：此处应该还是id=2，因为实际上提供服务的是 apache 服务器，返回的数据也应该是 apache 处理的数据。

而在我们实际应用中，也是有两层服务器的情况，那为什么要这么做？是因为我们往往在 tomcat 服务器处做数据过滤和处理，功能类似为一个 WAF。

而正因为解析参数的不同，我们此处可以利用该原理绕过 WAF 的检测。如 payload：index.jsp?id=1&id=0 or 1=1--+，tomcat 只检查第一个参数id=1，而对第二个参数id=0 or 1=1--+不做检查，直接传给了 apache，apache 恰好解析第二个参数，便达到了攻击的目的。

该用法就是 HPP（HTTP Parameter Pollution）即 HTTP 参数污染攻击的一个应用。HPP 可对服务器和客户端都能够造成一定的威胁。

0x04. 注入过程

步骤1：确定双服务器

从跳转到.jsp页面可以看出来是 Tomcat 服务器，一般来说，现在没有拿 jsp 写后台的了，大都用 php ，我们果断猜测是双服务器。

步骤2：注入点测试

http://localhost:8080/sqlilabs/Less-29/?id=1&id=2'

有正确回显和错误回显，单引号无小括号，剩下的事就好办了，可以发现没有其他任何的过滤条件，是最简单的注入之一。

Less 30

基于错误_GET_双服务器_双引号_字符型_盲注*

有正确回显但无错误回显，所以还是能叫基于错误。

1和1'正常回显，1"无回显，双引号字符型。
2"%26%26"1"="1回显为id=2，无小括号。

其他的和 Less 29 一模一样。

Less 31

基于错误_GET_双服务器_双引号_小括号_字符型注入

有错误回显，估计是忘了注释掉了，同上面一样。

总结：在以上三关中，我们主要学习到的是不同服务器对于参数的不同处理，HPP 的应用有很多，不仅仅是我们上述列出过 WAF 一个方面，还有可以执行重复操作，可以执行非法操作等。同时针对 WAF 的绕过，我们这里也仅仅是抛砖引玉，后续的很多的有关 HPP 的方法需要共同去研究。这也是一个新的方向。