HTTP请求头引发的注入问题 (SQL注入)

关于请求头中注入问题的演示，这里我写了一些测试案例，用来测试请求头中存在的问题。我们常见的会发生注入的点有 Referer、X-Forwarded-For、Cookie、X-Real-IP、Accept-Language、Authorization，User-Agent

HTTP Referer：是header的一部分，当浏览器请求网页时，会自动携带一个请求来源，如果后端存在交互，则会引发注入问题的产生。

User-Agent 请求头，该请求头携带的是用户浏览器的标识信息，如果此时带入数据库查询，则同样会触发注入问题的产生。

X-Forwarded-For：简称XFF头，它代表客户端，用于记录代理信息的，每经过一级代理(匿名代理除外)，代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中

Cookie：指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据（通常经过加密）

X-Real-IP：只记录真实发出请求的客户端IP。

Accept-Language：请求头允许客户端声明它可以理解的自然语言,以及优先选择的区域方言

HTTP_CLIENT_IP：该属性是PHP内置属性，同样取得的是客户端的IP，同样可控，如果带入数据库，则会产生注入问题。

Cookie 注入: 该注入的产生原因是因为程序员没有将COOKIE进行合法化检测,并将其代入到了数据库中查询了且查询变量是可控的,当用户登录成功后会产生COOKIE,每次页面刷新后端都会拿着这个COOKIE带入数据库查找,这是非常危险的.

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf8">
</head>
<body>
<form action="" method="post">
	账号: <input type="text"  name="uname" value=""/><br>
	密码: <input type="password" name="passwd" value=""/>
	<input type="submit" name="submit" value="Submit" />
</form>
	<?php
		header("Content-type: text/html;charset=utf8");
		error_reporting(0);
		$connect = mysqli_connect("localhost","root","12345678","lyshark");
		if($connect)
		{
			$cookee = $_COOKIE['uname'];
			if($cookee)
			{
				$sql="SELECT username,password FROM local_user WHERE username='$cookee' LIMIT 0,1";
				$query = mysqli_query($connect,$sql);
				echo "执行SQL: " . $sql . "<br>";
				if($query)
				{
					$row = mysqli_fetch_array($query);
					if($row)
					{
						echo "<br> COOKIE 已登录 <br>";
						echo "您的账号: " . $row['username'] . "<br>";
						echo "您的密码: " . $row['password'] . "<br>";
					}
				}
			}
		    if(isset($_POST['uname']) && isset($_POST['passwd']))
		    {
			$uname=$_POST['uname'];
			$passwd=$_POST['passwd'];
			$passwd = md5($passwd);
			$sql="select username,password FROM local_user WHERE username='$uname' and password='$passwd' LIMIT 0,1";
			$query = mysqli_query($connect,$sql);
		        if($query)
		        {
		        	$row = mysqli_fetch_array($query);
		        	$cookee = $row['username'];
		        	if($row)
		        	{
		        		setcookie('uname', $cookee, time() + 3600);
		        		$format = 'D d M Y - H:i:s';
		        		$timestamp = time() + 3600;
		        		echo "COOKIE已设置: " . date($format, $timestamp);
		        	}
		        }
		    }
		}
	?>
</body>
</html>

当登录成功后，再次刷新页面，就会将cookie带入数据中查询，此时观察cookie，可以闭合，则就会产生注入问题。

执行payload Cookie: uname=admin' and 0 union select database(),2--+ 可爆出数据库名称。

查询数据库同样可以爆出，数据库的版本号。

稍微修改一下代码,当代码中设置COOKIE的位置上增加了Base64编码后,该如何注入呢?

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf8">
</head>
<body>
<form action="" method="post">
	账号: <input type="text"  name="uname" value=""/><br>
	密码: <input type="password" name="passwd" value=""/>
	<input type="submit" name="submit" value="Submit" />
</form>
	<?php
		header("Content-type: text/html;charset=utf8");
		error_reporting(0);
		$connect = mysqli_connect("localhost","root","12345678","lyshark");
		if($connect)
		{
			$cookee = base64_decode($_COOKIE['uname']);
			if($cookee)
			{
				$sql="SELECT username,password FROM local_user WHERE username='$cookee' LIMIT 0,1";
				$query = mysqli_query($connect,$sql);
				echo "执行SQL: " . $sql . "<br>";
				if($query)
				{
					$row = mysqli_fetch_array($query);
					if($row)
					{
						echo "<br> COOKIE 已登录 <br>";
						echo "您的账号: " . $row['username'] . "<br>";
						echo "您的密码: " . $row['password'] . "<br>";
					}
				}
			}
		    if(isset($_POST['uname']) && isset($_POST['passwd']))
		    {
			$uname=$_POST['uname'];
			$passwd=$_POST['passwd'];
			$passwd = md5($passwd);
			$sql="select username,password FROM local_user WHERE username='$uname' and password='$passwd' LIMIT 0,1";
			$query = mysqli_query($connect,$sql);
		        if($query)
		        {
		        	$row = mysqli_fetch_array($query);
		        	$cookee = $row['username'];
		        	if($row)
		        	{
		        		setcookie('uname', base64_encode($cookee), time() + 3600);
		        		$format = 'D d M Y - H:i:s';
		        		$timestamp = time() + 3600;
		        		echo "COOKIE已设置: " . date($format, $timestamp);
		        	}
		        }
		    }
		}
	?>
</body>
</html>

直接将Payload加密在线https://base64.us/加密后,放入COOKIE中

Cookie: uname=admin' and 0 union select database(),2--+
Cookie: uname=YWRtaW4nIGFuZCAwIHVuaW9uIHNlbGVjdCBkYXRhYmFzZSgpLDItLSs=

Usage-Agent 注入问题: Usagen-Agent是客户请求时携带的请求头,该头部是客户端可控,如果有带入数据库的相关操作,则可能会产生SQL注入问题.

create table User_Agent(u_name varchar(20),u_addr varchar(20),u_agent varchar(256));
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf8">
    <title>SQL 注入测试代码</title>
</head>
<body>
<form action="" method="post">
	账号: <input style="width:1000px;height:20px;" type="text"  name="uname" value=""/><br>
	密码: <input  style="width:1000px;height:20px;" type="password" name="passwd" value=""/>
	<input type="submit" name="submit" value="Submit" />
</form>
	<?php
		header("Content-type: text/html;charset=utf8");
		error_reporting(0);
		$connect = mysqli_connect("localhost","root","12345678","lyshark");
		if($connect)
		{
		    if(isset($_POST['uname']) && isset($_POST['passwd']))
		    {
				$uname=$_POST['uname'];
				$passwd=$_POST['passwd'];
				$passwd = md5($passwd);
		        $sql="select username,password FROM local_user WHERE username='$uname' and password='$passwd' LIMIT 0,1";
		        $query = mysqli_query($connect,$sql);
		        if($query)
		        {
		        	$row = mysqli_fetch_array($query);
		        	if($row)
		        	{
		        		// 获取到用户的Agent客户请求体
		        		$Uagent = $_SERVER['HTTP_USER_AGENT'];
						// REMOTE_ADDR 是调用的底层的会话ip地址,理论上是不可以伪造的
						$IP = $_SERVER['REMOTE_ADDR'];
						echo "<br>欢迎用户: {$row['username']} 密码: {$row['password']} <br><br>";
						echo "您的IP地址是: {$IP} <br>";
						$insert_sql = "insert into User_Agent(u_name,u_addr,u_agent) values('$uname','$IP','$Uagent')";
						mysqli_query($connect,$insert_sql);
						echo "User_Agent请求头: {$Uagent} <br>";
		        	}
		        }
		    }
		}
	?>
</body>
</html>

登录成功后，才可以显示你的客户端数据，也就是先要完成登录。

登录成功后，会自动获取客户端的user_agent信息，HTTP_USER_AGENT 属性对我们来说可控，且通过insert语句带入到了数据库，此时我们可以构建注入语句。首先我们通过burp提交登录请求。

然后再登陆成功后，我们继续增加注入语句，将其写道user-agent上完成报错注入。

修改agent验证,可被绕过,此处的语句带入数据库变为了insert into User_Agent values('1)','u_addr','u_agent')有时,不存在回显的地方即使存在注入也无法得到结果.,但却是一个安全隐患,需要引起重视.

IP来路引发的注入问题： 这里我又写了一段代码，看似没有任何注入问题，原因是目标主机IP地址是可控的。

<?php
function GetIP(){
        static $retIP;
        if(isset($_SERVER)){
                if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
                        $retIP = $_SERVER['HTTP_X_FORWARDED_FOR'];
                }else if(isset($_SERVER['HTTP_CLIENT_IP'])){
                        $retIP = $_SERVER['HTTP_CLIENT_IP'];
                }else{
                        $retIP = $_SERVER['REMOTE_ADDR'];
                }
        }
        return $retIP;
}
$connect = mysqli_connect("127.0.0.1","root","123","lyshark");
if($connect)
{
        $addr = GetIP();
        $sql = "select * from ip where address='$addr' limit 0,1";
        $query = mysqli_query($connect,$sql);
        $row = mysqli_fetch_array($query);
        echo '本机IP:' . $row['address'];
        if ($row['address'] == $addr)
        {
                echo "注册过了..";
        }
}
?>
<?php echo '<hr><b> 后端执行SQL语句:  </b>' . $sql;?>