Cookie注入实战(非SQL注入)

最新推荐文章于 2023-06-29 16:08:27 发布
最新推荐文章于 2023-06-29 16:08:27 发布
阅读量7.5w 收藏 5
点赞数
分类专栏: 黑客帝国 文章标签: cookie session 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jailman/article/details/78479075
版权

cookie注入原理其实很简单,就是利用了session机制中的特性,只能说是特性,不能算是漏洞。

这里简单的说下原理,session的机制就相当于你有一张蛋糕店的会员卡,这张会员卡就是你浏览器中的cookie,上边有你的id号等信息,但是是否有效和有多少余额只能由店里边的柜员机决定,这个柜员机就是服务器上的session管理器,注入就好比有人偷偷的复制了你的会员卡(cookie),拿去店里消费,店里的柜员机看到信息相符就处理了。

这里就不介绍怎么拿cookie了,一般通过xss等手段可以办到。

我们以监控宝的网站为例,它没有对cookie做严格的处理,很容易就能注入获取完整的用户权限。

首先我们需要在chrome上安装cookiehacker的插件,就是这个东西


然后我们使用edge浏览器登录监控宝的账号,注意这里要用cookie注入之外的浏览器登录获取值

登录后,按F12打开网络标签,F5刷新,查看复制域名请求的cookie,复制cookie值

chrome中打开监控宝可以看到是未登录状态,注意!这里换成了chrome,它不能共享edge的cookie,所以它是未登录状态


使用cookiehacker填入已经复制到的cookie值,点击注入,显示ok


刷新页面,bingo!


注入成功,获取了被窃取cookie用户的完整权限。

但并不是所有的网站都没有cookie注入防护机制的,大家可以自己试一试。

大囚长
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷歌浏览器插件:Cookie Hacker Chrome
03-11
随便修改删除网站COOKIE的工具,对于调试网站有不错的用途,一直在使用,安装不了的话,请用开发模式,把文 件改成RAR解压,用导入文件夹的方式添加插件。
探索Cookie Hacker:一款强大而实用的浏览器扩展
最新发布
gitblog_00011的博客
04-19 460
探索Cookie Hacker:一款强大而实用的浏览器扩展 项目地址:https://gitcode.com/evilcos/cookiehacker 项目简介 Cookie Hacker 是一个开源的浏览器扩展,专为开发者和网络安全爱好者设计,提供了对网页cookies的查看、修改和管理功能。这款工具能够帮助你更好地理解并控制你的在线身份信息,对于前端开发调试、隐私保护以及安全研究都有着极大的价...
黑客专业cookie利用浏览器插件CookieHacker By 黑岩
qq_60582738的博客
09-03 1255
当我们使用xss平台的时候总会遇到一些奇葩的cookie 列如: Admin=admin=admin888;pass=pass=admin 甚至有些会带子域名的cookie进行跨域的cookie 这里我们例举一个bilibli 甚至有些网站的cookie还自带一个路径 当你用xss打到一份cookie你会发现 Cookie太多了 杂乱不堪 每一个去替换好费劲啊 这个时候就需要我们的插件了 插件一键式注入 完美解决上面的三个问...
黑客是怎么 cookie 获取?钓鱼?键盘记录?
weixin_72959097的博客
06-29 350
修改 C:\xampp\htdocs\pkxss\xcookie 下的 cookie.php,将 IP 地址改为漏洞服务器的地址(这里注意一下因为 xss 后台是可以单独拿出来运行的后台,所以我将 pkxss 后台文件从 pikachu 文件拿出来放在 pikachu 同一目录下)当用户提交的时候,我们就能取得用户的 Cookie, 提交过后页面刷新到 pikachu 的页面这样达到我们想要要求。的后台页面,访问的时候通过 document 中的 cookie 把本地 cookie 的值带过去。
Cookie利用神器:CookieHacker
weixin_33898233的博客
10-21 433
转自evilcos的博客 看到那么多苦逼的跨站师在问Cookie利用工具,不忍心,还是把自己写的Chrome扩展开源出来吧,功能极简,仿造《我的渗透利器》里提到的Original Cookie Injector for Greasemonkey。 效果 在Chrome下按alt+c快捷键打开如下图: 然后把你盗来的Cookies,直接贴进文本框里,上面的域名输入框会自动取你当前所在的页...
本科生教学SQL注入教案PPT
11-17
SQL注入攻击的核心在于利用应用程序对用户输入数据处理不当,使得攻击者能够插入恶意的SQL代码,进而执行授权的数据库操作。这种情况通常发生在以下两个关键环节: 1. **用户输入**:攻击者通过网页表单、URL参数...
cookie-sql-南方数据网站
10-05
SQL注入攻击通常发生在网站没有对用户输入的数据进行充分验证和过滤时,攻击者可以构造特定的SQL语句,执行授权的操作,如读取、修改或删除数据库中的数据。 学习这个网站,我们可以深入理解以下几个知识点: 1....
Web攻防系列教程之Cookie注入攻防实战.pdf
09-27
Web攻防系列教程之Cookie注入攻防实战 Cookie 注入是一种基于 HTTP 协议的攻击方式,通过在 Cookie注入恶意代码来攻击网站。下面是 Cookie 注入的详细知识点: 一、Cookie 背景介绍 Cookie 是一种小型文本...
SQL注入大餐必备餐具SQLMA
11-06
### SQL注入大餐必备餐具——SQLMA #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意SQL语句来操纵后端数据库,进而获取敏感信息或控制数据库。为了有效地进行SQL...
网络安全原理与应用:SQL工具注入.pptx
05-16
实际应用中,如DVWA(Damn Vulnerable Web Application)平台的安全实验,可以模拟SQL注入环境进行实战练习。首先,将DVWA的安全级别设置为Low,然后在SQL Injection模块中尝试注入,获取URL,并使用SQLMap进行测试...
易语言-易语言置外部浏览器Cookie例子(支持所有浏览器)
06-29
易语言置外部浏览器Cookie例子(支持所有浏览器),源码调用了 ,实现原理为在拦截数据的时候,进行替换cookie
可以修改Cookies和注入的浏览器
08-12
可以修改cookis的浏览器软件,可以修改cookis欺骗,用这种方法可以入侵很多网站,本人一直在用,软件原名:Cookies&Inject Browser
20210820cookie万能获取助手.rar
08-21
主要用于自动获取各种web端的cookie
Cookie利用神器之 CookieHacker
weixin_33936401的博客
10-16 671
CookieHacker 是一个cookie利用的工具,该工具属于Chrome的一个扩展插件。可以将自己抓取到的cookie输入到文本框中,网址会自动识别,Then点击【inject Cookies】就可以完成对cookie的操作。 另外,这个扩展会把你的Cookies都变为本地持久Cookies。 在Chrome下按【Alt+c】就可以调出这个插件。图形介绍:源码:...
【漏洞挖掘】——23、XXE漏洞挖掘刨析(上)
Fly_鹏程万里
03-05 3073
XML(可扩展标记语言)是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,它是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
COOKIE注入
weixin_50464560的博客
07-10 1118
一、简介 Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 Cookie注入简单来说就是利用Cookie而发起的注入攻击。从本质上来讲,Cookie注入与传统的SQL注入并无不同,两者都是针对数据库的注入...
cookie注入
weixin_58358185的博客
11-19 818
cookie注入
【JavaScript 教程】浏览器模型—Cookie
油墨香^-^的博客
06-06 476
作者 | 阮一峰 1、概述 Cookie 是服务器保存在浏览器的一小段文本信息,一般大小不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。 Cookie 主要保存状态信息,以下是一些主要用途。 对话(session)管理:保存登录、购物车等需要记录的信息。 个性化信息:保存用户的偏好,比如网页的字体大小、背景色等等。 追踪用户:记录和分析用户行为。 Cookie 不是一种理想的客户端储存机制。它的容量很小(4KB),缺乏数据操作接口,而且会影响性能。客户.
利用本地cookie跨浏览器登录
qq_44875230的博客
02-05 5606
利用本地cookie跨浏览器登录一、工具准备:安装Cookie Editor插件谷歌浏览器Edge浏览器二、导出导入cookie后刷新登陆注:安装插件失败的处理办法 一、工具准备:安装Cookie Editor插件 Tips:本文章使用的是Google和Microsoft Edge浏览器 谷歌浏览器 下载谷歌浏览器插件 链接:https://pan.baidu.com/s/1iNdWu0nr5K0r3HLH_ICdEQ 提取码:u9qw 在浏览器上方地址栏输入chrome://extensions/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值