SQL注入之HTTP头部注入_sqlhttp头注入

SQL注入

---

---

前言

之前了解了联合查询和报错注入，这次学习的内容有以下六种注入方式

1.堆叠查询
2.宽字节注入
3.Cookie 注入
4.base64 注入
5.User-Agent 注入
6.referer 注入

---

一、堆叠查询

1.概念

堆叠查询，一次HTTP请求，可以同时执行多条SQL语句，包括增删改查操作，使用;隔开，以sqli-labs 第38 关为例子。

2.演示案例

这里提示我们输入ID作为参数和数值，我们接下来使用火狐浏览器中的插件HackBar来完成
可以看到添加?id=1后会出现一个用户名和密码，更改参数，观察
发现在?id=1后面输入'后页面会报错，提示语法出现错误
加入;后页面又显示用户名了

添加命令update users set password='123456' --+发现页面没有发生变化

更改参数后发现密码被修改为我们刚刚输入的123456

二、宽字节注入

1.概念

宽字节注入准确来说不是注入手法，而是另外一种比较特殊的情况。宽字节注入的目的是绕过单双引号转义，以sqli-labs-32 关为例子。

2.演示案例

和38关差不多，但是出现了两条提示，输入观察
输入id=1时下面的提示发生变化，

Hint: The Query String you input is escaped as : 1 //提示:您输入的查询字符串被转义为:1
The Query String you input in Hex becomes : 31 //以十六进制形式输入的Query String变为:31

加入'后发现提示发生变化，多出了/，而且同样被16进制编码，分析页面没有发生变化，推测/将我们的'变为了普通字符
这里我们通过id=1%cb' and 1=2 union select 1,database(),3 --+来绕过/，其中使用的是GBK编码%cb，这样就可以获得库名了

三、Cookie 注入

1.概念

SQL 注入点不止会出现在GET 参数或POST 参数中， Cookie注入的注入点在Cookie 数据中，以sqli-labs-2 关为例子。

2.演示案例

发现有登录框，因为知道用户名和密码，所有直接登录查看
登录后是这个界面，我们开启抓包刷新一下界面
发送到Repeater，更改Cookie为uname=Dumb' and 1=2 union select 1,version(),database() #就可以获得数据库的版本和库名

四、Base64 注入

1.概念

注入的参数需要进行base64 编码，以sqli-labs-22 关为例子

2.演示案例

和20关一样，同样的步骤抓包
发现Cookie值发生了编码，进入bp查看
刚刚输入的用户名被编码，解码查看

将Dumb" and 1=2 union select 1,version(),database()#使用base64编码RHVtYiIgYW5kIDE9MiB1bmlvbiBzZWxlY3QgMSx2ZXJzaW9uKCksZGF0YWJhc2UoKSM=后重复Cookie注入的步骤,就可以获得数据库版本和库名

五、User-Agent 注入

1.概念

注入的参数在User-Agent 中，以sqli-labs-18 关为例子

2.演示案例

照旧
bp查看

这次在User-Agent中写入maple' and updatexml(1,concat(0x5e,database(),0x5e),1) and '1,本次使用了报错注入中的updatexml语句获取数据库的名字

六、Referer 注入

1.概念

注入参数在Referer 字段中，以sqli-labs-19 关为例子。

2.演示案例

重复上述步骤
bp查看
这次在Refere中写入maple' and updatexml(1,concat(0x5e,database(),0x5e),1) and '1,这次也是使用了报错注入中的updatexml语句获取数据库的名字