XFF注入
XFF注入攻击的测试地址:http://127.0.0.1/sqli/xff.php。
X-Forwarded-for简称XFF头,它代表客户端真实的IP,通过修改X-Forwarded-for的值可以伪造客户端IP。通过Burp Suite住区数据包内容,将X-Forwarded-for设置为11.22.33.44,然后访问改URL,页面返回正常,如图62所示。
【资料图】
图62 XFF头
将X-Forwarded-for设置为11.22.33.44\",再次访问该URL,页面返回MySQL的报错信息,结果如图63所示。
图63 访问X-Forwarded-for:11.22.33.44\"的结果
将X-Forwarded-for分别设置为11.22.33.44\" and 1=1#和11.22.33.44\" and 1=2#,再次访问该URL,结果如图64和图65所示。
图64 访问X-Forwarded-for:11.22.33.44\" and 1=1#的结果
图65 访问X-Forwarded-for:11.22.33.44\" and 1=2#的结果
通过页面的返回结果,可以判断出改地址存在SQL注入漏洞,接着可以使用order by判断表中的字段数量,最终测试出数据库中存在4个字段,尝试使用Union注入方法,语法是X-Forwarded-for:-11.22.33.44\" union select 1,2,3,4#,如图66所示。
图66 使用Union注入
接着,使用Union注入方法完成此次注入。
XFF注入代码分析
PHP中的getenv()函数用于获取一个环境变量的值,类似于$_SERVER或$_ENV,返回环境变量对应的值,如果环境变量不存在则返回FALSE。
使用以下代码即可获取客户端IP地址,程序先判断是否存在HTTP头部参数HTTP_CLIENT_IP,如果存在,则付给$ip,如果不存在,则判断是否存在HTTP头部参数HTTP_X_FORWARDED_FOR,如果存在,则赋给$ip,如果不存在,则将HTTP头部参数REMOTE_ADDR赋给$ip。
<?php$con=mysqli_connect(\"localhost\",\"root\",\"root\",\"test\");if (mysqli_connect_errno()){ echo \"连接失败: \" . mysqli_connect_error();}if(getenv(\"HTTP_CLIENT_IP\")){ $ip = getenv(\"HTTP_CLIENT_IP\");}elseif(getenv(\"HTTP_X_FORWARDED_FOR\")){ $ip = getenv(\"HTTP_X_FORWARDED_FOR\");}elseif(getenv(\"REMOTE_ADDR\")){ $ip = getenv(\"REMOTE_ADDR\");}else{ $ip = $HTTP_SERVER_VARS[\"REMOTE_ADDR\"];}$result = mysqli_query($con,\"select * from users where `ip`=\"$ip\"\");if (!$result){ printf(\"Error: %s\\n\", mysqli_error($con)); exit();}$row = mysqli_fetch_array($result);echo $row[\"username\"] . \" : \" . $row[\"password\"];echo \"<br>\";?>
接下来,将$ip拼接到select语句,然后将查询结果输出到界面上。
由于HTTP头部参数是可以伪造的,所以可以添加一个头部参数CLIENT_IP或X_FORWARDED_FOR。当设置X_FORWARDED_FOR=1\" union select 1,2,3#时,执行的SQL语句为:
select * from user where `ip`=\"1\" union select 1,2,3#\"
此时SQL语句可以分为select * from user where `ip`=\"1\"和union select 1,2,3两条,利用第二条语句(Union查询)就可以获取数据库中的数据。
以上就是Web网络安全分析XFF注入攻击原理详解的详细内容,更多关于Web网络安全XFF注入攻击的资料请关注其它相关文章!