【学习笔记】asp中的中转注入和消息头注入

最新推荐文章于 2022-02-26 10:31:03 发布
最新推荐文章于 2022-02-26 10:31:03 发布
阅读量238 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chualam/article/details/109635557
版权

中转注入原理
我们都知道request. querystring是get,request. form是post。而一般人为了方便都是直接使用request("")的方式请求,没有明确用哪种请求方式,asp的解析顺序是先get后post然后cookie传输 ,这里的中转注入就是利用了cookie注入的方法
怎么检测?
例如网站xx. com/?id=1
把id给去掉 就无法显示正常页面,因为没有传递参数。
这时在ie浏览器中输入JavaScript:alert(document.cookie=“id=”+escape(“123”))
等于把123赋予给cookie的id中
这时刷新页面 发现又可以正常显示了
在123后面加上and 1=2发现又不能正常显示,则说明存在注入

消息头注入
主要是存在user-agent部分,例如
User-Agent: Mozilla/5.0’(selectfrom(select(sleep(20)))a) #
原理:request. getheader(“useragent”)然后放入数据库
INSERT INTO visits (useragent, datetime) VALUES (‘Mozilla/5.0’, (selectfrom(select(sleep(20)))a)) #’, ‘2016-06-13 13:00:06’)

снυαιαм ιее
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XYCMS搬家公司建站系统 v3.8-ASP源码.zip
01-26
ASP源码,压缩包解压密码:www.cqlsoft.com
SQL注入天书之ASP注入漏洞全接触
weixin_33859504的博客
04-12 144
文/小竹 引 言   随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQ...
(17)网络安全:cookie注入、二次注入、DNSlog注入中转注入、堆叠注入的原理及注入过程
02-26 3409
原理、靶场、步骤、注入
小迪WEB
热门推荐
weixin_52125240的博客
09-26 2万+
WEB-学习小迪安全第01天:基础入门—概念名词域名 小迪安全 第01天:基础入门—概念名词 域名 1)什么是域名? 域名,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时计算机的电子方位; 例如:www.bilibili.com 2)域名在哪里注册? 在第三方平台上注册,国内的一些域名注册商,比如阿里云旗下的万网。 3)什么是二级域名多级域名? 二级域名:顶级域名之下的域名。 例如: www.baidu.com为主域,则图news.baidu.com为二级域
asp注入方法总结
love阳光 的专栏
03-19 4756
 asp注入方法总结 1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user>0 3.判断数据库系统 ;and (select count(*) from sysobjects)>0 mssql ;and (select count(*) from msysobjects)>0 access 4.注入参数是字符 and [查询条件] and
ASP.NET学习大总结+笔记
10-06
这份“ASP.NET学习大总结+笔记”涵盖了从基础概念到高级特性的全面知识,是学习和巩固ASP.NET技术的宝贵资料。 一、ASP.NET简介 ASP.NET是服务器端的编程模型,它允许开发人员使用多种编程语言(如C#、VB.NET)创建...
AngularJS学习笔记之依赖注入详解
10-22
在AngularJS,依赖注入(Dependency Injection,简称DI)主要通过`$injector`服务来实现,它负责管理和实例化应用程序的各个组件,如模块(modules)、服务(services)、指令(directives)和控制器...
Dagger2 Android依赖注入学习笔记
01-04
我也去具体搜了搜,但看到一些文章带着“Dagger2从入门到放弃”这样意思的句子,就感觉Dagger2会很难吗,emmmm…行吧,好像是有点难理解,但是想着既然有那么多人用这个框架,必然有它的好处,于是花了些时间学习了...
asp-net学习笔记.pdf
最新发布
11-17
asp-net学习笔记.pdf
中转注入原理
weixin_34238642的博客
08-14 822
呵呵,又来骗流量了。说起来真的是孤陋寡闻了,我听说中转注入这个方法大概是在几个月前,但这位寂寞的刺猬大侠好象在07年或者更早就弄出了这东 西。刚听说中转注入的时候觉得很好奇,以为又出什么新招了,看了代码才知道原来所谓的中转注入其实就是传说当的cookie注入。但cookie注入很 烦琐,而且基本上只能用手工,所以我觉得这个中转注入的想法真的很巧妙,巧妙地把原来无法放阿D...
带SQL注入的一个ASP网站源码
02-06
带SQL注入的一个ASP网站源码,ASP+ACCESS手动注入环境搭建,用来练手不错! 带SQL注入的一个ASP网站源码,ASP+ACCESS手动注入环境搭建,用来练手不错!
搬家网源码
12-01
搬家网源码
物流搬家公司网站源码 v1.0
02-29
功能介绍: 一、基本管理 网站基本设置 管理员管理 信息显示设置 首页菜单管理 SMTP邮件配置 SQL注入设置 数据备份压缩 系统日志记录 二、单页管理(关于我们) 添加页面 管理页面 三、新闻管理 添加新闻 管理新闻 新闻分类管理 四、留言管理 五、广告管理 添加广告 管理广告 添加幻灯广告 管理幻灯广告 六、友情链接 添加友情链接 文字链接管理 图片链接管理 后台进入地址:/ebaitiancms/login.asp 后台帐号:ebaitiancms 后台密码:ebaitiancms
asp注入漏洞测试环境
02-28
学习环境。主要是从通过注入拿到网站后台的用户名和密码
ASP漏洞+SQL注入的入侵方法总结.doc
06-17
ASP漏洞+SQL注入的入侵方法总结.docASP漏洞+SQL注入的入侵方法总结.doc
SQL注入系列之ASP+ACCESS手动注入(二)----Cookie注入
fendo
02-26 7236
一、简介 Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站的“购物车”。 Cookie注入简单来说就是利用Cookie而发起的注入攻击。从本质上来讲,Cookie注入与传统的SQL注入并无不同,两者都是针对数
cookie中转注入,使用sqlmap中转注入
椰树ii
04-29 7341
一,判断是否有cookie注入:目标网站http://www.xxx.com/x.asp?id=11.在IE浏览器访问去掉参数(id=1)的url: http://www.xxx.com/x.asp?(加载页面,显示不正常,原因是没有输参数)。2.在IE浏览器输入javascript:alert(document.cookie="id="+escape("1"));(添加cookie信息),再次访...
网络安全系列之八 Cookie注入注入中转
weixin_33712881的博客
10-11 274
在前面的几篇博文,我们已经成功拿下了南方数据2.0的模板网站,接下来我们将目标网站换成南方数据5.0模板,下载地址:http://down.51cto.com/data/553330 。实验环境跟之前一样,目标服务器IP地址192.168.80.129,***主机IP地址192.168.80.128。首先我们仍是找一个有参数传递的页面,在URL后面加上“and 1=2”进行测试,可以发现这些常用...
MFC学习笔记:基础函数与消息框详解
"MFC学习笔记,详细记录了个人在自学MFC过程的理解和应用,适合初学者入门。" MFC(Microsoft Foundation Classes)是微软提供的一套C++库,用于构建Windows应用程序。它基于面向对象的设计,使得开发者可以更...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值