HEAD注入

0x00 HEAD注入

head注入的注入点在数据包的请求头部分。与之相对的有Cookie注入等。

很多网站会获取访问者的IP地址、浏览器标识等信息，并将其记录在数据库中，便于用户下次访问时进行某些提醒(如异地登录等)。而访问者的这些信息通常包含在发出请求数据包的请求头(HEAD部分)中。因此在普通传参做了防护措施时，可以在HEAD部分构造语句进行注入。

在PHP中，超全局变量 $_SERVER 通常会获取请求头中的一些信息。如:

$_SERVER[‘HTTP_USER_AGENT’] 获取当前请求数据包的User-Agent内容

$_SERVER[‘REMOTE_ADDR’] 获取当前请求包的IP地址

$_SERVER[‘REQUEST_URI’] 获取当前URL

等。$_SERVER功能强大，但不当使用会造成SQL注入。

1、使用了$_SERVER获取数据并进行数据库操作

2、对数据过滤不严格

head注入1.png

第15-28行定义了一个form表单用来提交用户的登录数据，数据提交给自身。

head注入2.png

第66行定义了两个变量，$uagent和$ip，分别用$_SERVER 获取了User-Agent和IP地址。

head注入3.png

第76、77行调用了 check_input() 函数对输入的数据进行检查，这个函数定义在第37行

head注入4.png

第39行，如果传入的值不为空，则取这个值的前20个字符。

第46行，调用 get_magic_quotes_gpc() 函数对其进行转义

第52行调用了ctype_digit()函数对值进行判断：

ctype_digit():主要功能是检测字符串中的字符是否都是数字，负数和小数会检测不通过，且检测内容必须是字符串。

如果检测不通过，则会执行if()语句中的内容:调用mysql_real_escape_string()函数对其进行处理:

mysql_real_escape_string:转义SQL语句中使用的某些特殊字符。

并且在首位分别添加一个单引号。

回到第79行，将处理后的变量uname和passwd拼接进SQL语句执行，如果返回结果(登陆成功)，会进入第82行的if()语句，否则提示错误。

第85行，将变量uagent、IP、uname拼接进SQL语句，插入到数据库中。而uagent、IP两个变量是直接用$_SERVER获取的，中间没有任何过滤。

因此判断在head部分存在SQL注入。前提是必须要输入正确的账号密码。

正常登录会返回IP地址和User-Agent信息

head注入5.png

输入admin/admin，点击登录并抓包，发到Repeater

正常返回包长度为1793

head注入6.png

修改User-Agent，添加一个单引号，发现返回SQL语法错误

head注入7.png

根据返回，构造语句

获取数据库名

head注入8.png