如何挖掘并成功利用Popular Sports網站主機頭的SQL注入漏洞

這期內容當中小編將會給大家帶來有關如何挖掘并成功利用Popular Sports網站主機頭的SQL注入漏洞，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

下面是“我如何利用主機頭找出SQL注入漏洞，以及使用sqlmap tamper腳本繞過規則并dump目標數據庫”的完整過程。

當我嘗試使用burp intruder模塊檢查應用是否存在可爆破OTP漏洞時，我發現我的IP被立馬阻止了，并且從返回的錯誤信息我基本可以斷定該應用使用的的是AWS。此外，我還發現在HTTP響應中設置了“X-Amz-Cf-Id”頭（CloudFront在將請求轉發到原始請求之前將CloudFront添加到查看器請求中），這也更加肯定了我的判斷。

現在，我們開始來測試可能存在漏洞的地方。測試工作可是個細活，任何一個地方我們都不能輕易的放過，我們從主機頭開始。我修改了主機頭的值但并沒有任何作用。因為該應用運行在AWS上，所以他們必定使用了彈性負載均衡（ELB），因此我決定添加X-Forwarded-Host來嘗試對主機頭的攻擊。如下所示 -

我將它的值設置為www.google.com，并302重定向到google.com，但是當我將該值設置為www.evil.com時，我得到了以下響應結果 -

可以看到狀態顯示為403 Forbidden。很顯然，該應用程序后端服務器肯定是設置了一些有關主機值的白名單（因為它允許google.com但拒絕evil.com）。現在有兩種可能性，一是腳本是根據允許值的數組/列表進行檢查的。二是它們將值存儲在了數據庫中，這樣就會有數據庫的查找過程。所以，我嘗試了一些針對X-Forwarded-Host值的sql查詢，如下 -

可以看到我設定延遲注入語句10秒執行，而HTTP響應時間為9.4秒，這足以證明X-Forwarded-Host頭中存在SQL注入漏洞。接下來的任務，就是提取目標數據庫中的數據。到這里我通常會使用sqlmap來輔助我的工作，但不幸的是sqlmap連接被拒絕。我嘗試添加--delay和--timeout參數來限制HTTP請求以及增加超時時間，但仍然連接被拒絕，我猜測這可能與字符黑名單有關。

為了驗證我的猜測，我在X-Forwarded-Host頭中輸入了一個XSS測試語句“<script>alert(1)</script>”，果不其然響應結果為HTTP STATUS 400?—?BAD REQUEST ERROR

很明顯，腳本標簽，<，>字符也在黑名單列表中。SQLMAP中提供了一個between.py的tamper腳本，我將(<,>)替換為了“NOT BETWEEN”，并在sqlmap查詢中包含了它。運行了一段時間后，我成功獲取到了目標數據庫中的數據，其中包括用戶憑據，email-id等信息。

上述就是小編為大家分享的如何挖掘并成功利用Popular Sports網站主機頭的SQL注入漏洞了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。