簡單介紹一下http-header：

1.Accept

??作用： 瀏覽器端可以接受的媒體類型, 例如： Accept: text/html 代表瀏覽器可以接受服務器回發(fā)的類型為 text/html 也就是我們常說的html文檔,如果服務器無法返回text/html類型的數(shù)據(jù),服務器應該返回一個406錯誤(non acceptable)

??通配符 * 代表任意類型 例如 Accept: / 代表瀏覽器可以處理所有類型,(一般瀏覽器發(fā)給服務器都是發(fā)這個)

2.Accept-Encoding：

??作用： 瀏覽器申明自己接收的編碼方法，通常指定壓縮方法，是否支持壓縮，支持什么壓縮方法（gzip，deflate），（注意：這不是只字符編碼）; 例如： Accept-Encoding: zh-CN,zh;q=0.8

3.Accept-Language

??作用： 瀏覽器申明自己接收的語言。 語言跟字符集的區(qū)別：中文是語言，中文有多種字符集，比如big5，gb2312，gbk等等； 例如： Accept-Language: en-us。

4.Connection

??Connection: keep-alive 當一個網(wǎng)頁打開完成后，客戶端和服務器之間用于傳輸HTTP數(shù)據(jù)的TCP連接不會關閉，如果客戶端再次訪問這個服務器上的網(wǎng)頁，會繼續(xù)使用這一條已經建立的連接

??Connection: close 代表一個Request完成后，客戶端和服務器之間用于傳輸HTTP數(shù)據(jù)的TCP連接會關閉， 當客戶端再次發(fā)送Request，需要重新建立TCP連接。

5.Host（發(fā)送請求時，該報頭域是必需的）

??作用: 請求報頭域主要用于指定被請求資源的Internet主機和端口號，它通常從HTTP URL中提取出來的 例如: 我們在瀏覽器中輸入：http://www.hzau.edu.cn 瀏覽器發(fā)送的請求消息中，就會包含Host請求報頭域，如下：Host：www.hzau.edu.cn 此處使用缺省端口號80，若指定了端口號，則變成：Host：指定端口號

6.Referer

??當瀏覽器向web服務器發(fā)送請求的時候，一般會帶上Referer，告訴服務器我是從哪個頁面鏈接過來的，服務器籍此可以獲得一些信息用于處理。比如從我主頁上鏈接到一個朋友那里，他的服務器就能夠從HTTP Referer中統(tǒng)計出每天有多少用戶點擊我主頁上的鏈接訪問他的網(wǎng)站

7.User-Agent

??作用：告訴 HTTP 服務器， 客戶端使用的操作系統(tǒng)和瀏覽器的名稱和版本。我們上網(wǎng)登陸論壇的時候，往往會看到一些歡迎信息，其中列出了你的操作系統(tǒng)的名稱和版本，你所使用的瀏覽器的名稱和版本，這往往讓很多人感到很神奇，實際上，服務器應用程序就是從 User-Agent 這個請求報頭域中獲取到這些信息User-Agent請求報頭域允許客戶端將它的操作系統(tǒng)、瀏覽器和其它屬性告訴服務器。

在SQL注入中的http-header注入通常指的是User-Agent注入，因為只有這一個參數(shù)可以任意修改

也可以用burp，不過我更鐘情postman

首先隨便填寫登錄一下，按F12拿到這三個payload

設置完成，準備凍手

試了一通發(fā)現(xiàn)都沒有回顯，實在沒辦法點一下提示，原來要先登錄的啊=-=

傳了一個單引號，報了一個之前沒見過的錯誤，“/**/”是MySQL數(shù)據(jù)庫的注釋語句，試試拼接一個“*/”

又能正常顯示了（撓頭），繼續(xù)嘗試

拼接單引號，報錯

拼接雙引號，正常，大概有點思路了

正常顯示了，但是不管我輸入什么都是直接顯示出來，我要用什么辦法才能讓他把我寫的sql語句當作正常的sql語句去執(zhí)行呢

可惡，試了一通，還是回到原點，可能是受之前學習過的課程的影響，我的想法是閉合前面和后面的sql語句，讓數(shù)據(jù)庫執(zhí)行整條語句的時候把臟數(shù)據(jù)當成正常sql語句執(zhí)行最后把數(shù)據(jù)帶出來顯示在User-Agent上，于是我去查了攻略，

“Accept也可進行注入，中間過程和insert/update注入一樣，只是注入?yún)?shù)修改為User-Agent,在此不再贅述

直接查詢字段username的內容admin,pikachu,test

’ or updatexml(1,concat(0x7e,(select group_concat(username) from users)),1)or’

直接查詢字段passowrd的內容,因為字符數(shù)量比較多，所以直接用limit函數(shù)讀取

’ or updatexml(1,concat(0x7e,(select password from users limit 0,1)),1)or’

對應賬號和MD5加密的密碼：

admin：e10adc3949ba59abbe56e057f20f883e（123456）

pikachu：670b14728ad9902aecba32e22fa4f6bd（000000）

test：e99a18c428cb38d5f260853678922e03（abc123）”

總結

沒什么好總結的，我是個傻逼

還是總結一下吧，updataxml()、extractvalue()?yyds!!