Less 20 (cookie注入)

最新推荐文章于 2022-11-18 23:51:16 发布
最新推荐文章于 2022-11-18 23:51:16 发布
阅读量359 收藏
点赞数
分类专栏: # SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901998/article/details/107083224
版权

文章目录

1. 题目分析

首页是一个登录框,登录成功后,可以看到如下界面:
在这里插入图片描述
这里记录了很多请求头信息。接着看一下网站源码:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>Less-20 Cookie Injection- Error Based- string</title>
</head>

<body bgcolor="#000000">
<?php
//including the Mysql connect parameters.
	include("../sql-connections/sql-connect.php");
	error_reporting(0);
if(!isset($_COOKIE['uname']))
	{
	//including the Mysql connect parameters.
	include("../sql-connections/sql-connect.php");

	echo "<div style=' margin-top:20px;color:#FFF; font-size:24px; text-align:center'> Welcome&nbsp;&nbsp;&nbsp;<font color='#FF0000'> Dhakkan </font><br></div>";
	echo "<div  align='center' style='margin:20px 0px 0px 510px;border:20px; background-color:#0CF; text-align:center;width:400px; height:150px;'>";
	echo "<div style='padding-top:10px; font-size:15px;'>";
 

	echo "<!--Form to post the contents -->";
	echo '<form action=" " name="form1" method="post">';

	echo ' <div style="margin-top:15px; height:30px;">Username : &nbsp;&nbsp;&nbsp;';
	echo '   <input type="text"  name="uname" value=""/>  </div>';
  
	echo ' <div> Password : &nbsp; &nbsp; &nbsp;';
	echo '   <input type="text" name="passwd" value=""/></div></br>';	
	echo '   <div style=" margin-top:9px;margin-left:90px;"><input type="submit" name="submit" value="Submit" /></div>';

	echo '</form>';
	echo '</div>';
	echo '</div>';
	echo '<div style=" margin-top:10px;color:#FFF; font-size:23px; text-align:center">';
	echo '<font size="3" color="#FFFF00">';
	echo '<center><br><br><br>';
	echo '<img src="../images/Less-20.jpg" />';
	echo '</center>';




	
function check_input($value)
	{
	if(!empty($value))
		{
		$value = substr($value,0,20); // truncation (see comments)
		}
		if (get_magic_quotes_gpc())  // Stripslashes if magic quotes enabled
			{
			$value = stripslashes($value);
			}
		if (!ctype_digit($value))   	// Quote if not a number
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			}
	else
		{
		$value = intval($value);
		}
	return $value;
	}


	
	echo "<br>";
	echo "<br>";
	
	if(isset($_POST['uname']) && isset($_POST['passwd']))
		{
	
		$uname = check_input($_POST['uname']);
		$passwd = check_input($_POST['passwd']);
		
	

		
		$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
		$result1 = mysql_query($sql);
		$row1 = mysql_fetch_array($result1);
		$cookee = $row1['username'];
			if($row1)
				{
				echo '<font color= "#FFFF00" font size = 3 >';
				setcookie('uname', $cookee, time()+3600);	
				header ('Location: index.php');
				echo "I LOVE YOU COOKIES";
				echo "</font>";
				echo '<font color= "#0000ff" font size = 3 >';			
				//echo 'Your Cookie is: ' .$cookee;
				echo "</font>";
				echo "<br>";
				print_r(mysql_error());			
				echo "<br><br>";
				echo '<img src="../images/flag.jpg" />';
				echo "<br>";
				}
			else
				{
				echo '<font color= "#0000ff" font size="3">';
				//echo "Try again looser";
				print_r(mysql_error());
				echo "</br>";			
				echo "</br>";
				echo '<img src="../images/slap.jpg" />';	
				echo "</font>";  
				}
			}
		
			echo "</font>";  
	echo '</font>';
	echo '</div>';

}
else
{



	if(!isset($_POST['submit']))
		{
			
			$cookee = $_COOKIE['uname'];
			$format = 'D d M Y - H:i:s';
			$timestamp = time() + 3600;
			echo "<center>";
			echo '<br><br><br>';
			echo '<img src="../images/Less-20.jpg" />';
			echo "<br><br><b>";
			echo '<br><font color= "red" font size="4">';	
			echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
			echo "</font><br>";	
			echo '<font color= "cyan" font size="4">';	
			echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			
			echo "</font><br>";			
			echo '<font color= "#FFFF00" font size = 4 >';
			echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
			echo '<font color= "orange" font size = 5 >';			
			echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
			
			
			echo "<br></font>";
			$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
			$result=mysql_query($sql);
			if (!$result)
  				{
  				die('Issue with your mysql: ' . mysql_error());
  				}
			$row = mysql_fetch_array($result);
			if($row)
				
				{
			  	echo '<font color= "pink" font size="5">';	
			  	
			  	echo 'Your Login name:'. $row['username'];
			  	echo "<br>";
				echo '<font color= "grey" font size="5">';  	
				echo 'Your Password:' .$row['password'];
			  	echo "</font></b>";
				echo "<br>";
				echo 'Your ID:' .$row['id'];
			  	}
			else	
				{
				echo "<center>";
				echo '<br><br><br>';
				echo '<img src="../images/slap1.jpg" />';
				echo "<br><br><b>";
				//echo '<img src="../images/Less-20.jpg" />';
				}
			echo '<center>';
			echo '<form action="" method="post">';
			echo '<input  type="submit" name="submit" value="Delete Your Cookie!" />';
			echo '</form>';
			echo '</center>';
		}	
	else
		{
		echo '<center>';
		echo "<br>";
		echo "<br>";
		echo "<br>";
		echo "<br>";
		echo "<br>";
		echo "<br>";
		echo '<font color= "#FFFF00" font size = 6 >';
		echo " Your Cookie is deleted";
				setcookie('uname', $row1['username'], time()-3600);
				header ('Location: index.php');
		echo '</font></center></br>';
		
		}		


			echo "<br>";
			echo "<br>";
			//header ('Location: main.php');
			echo "<br>";
			echo "<br>";
			
			//echo '<img src="../images/slap.jpg" /></center>';
			//logging the connection parameters to a file for analysis.	
		$fp=fopen('result.txt','a');
		fwrite($fp,'Cookie:'.$cookee."\n");
	
		fclose($fp);
	
}
?>

</body>
</html>

通过源码可以得知,网站的大致流程就是当我们输入账户和密码登录的时候,会将uname字段存入cookee中。$cookee = $_COOKIE['uname'];,然后当我们再次访问页面的时候,会判断cookee是否存在,如果存在则$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";通过这个SQL语句查询我们的账户信息。

而且这个$cookee是没有经过过滤的,因此我们的注入点就在这里。

2. 思路

通过观察这条SQL语句
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
我们可以使用联合查询进行注入。

那么接口在哪里呢?
这里我们要利用cookie,浏览器每次向服务器发送请求的时候,如果本地存有相关的cookie信息,则会将cookie一并发送给服务器。

就本题而论,浏览器存储的cookie如下图:
在这里插入图片描述
cookieuname字段的值就是我们的登录的账号(明文),而后台查询的条件也是它。因此我们需要对这个字段进行修改,让浏览器发送的uanme字段为我们构造的注入语句。

那么,则有两种更改cookie的思路:

  1. 直接更改本地cookie信息;让浏览器请求的时候,直接将本地更改好的cookie信息发送给服务器。
  2. 在浏览器发送请求的时候,我们进行抓包,直接更改发送包中的cookie字段。

下面分别就两种方法进行展示。

3. 注入手法

3.1 更改本地cookie

由于要使用联合查询,因此我们需要知道网站SQL语句检索字段的个数。
在这里插入图片描述
这里是直接使用edit this cookie对本地的cookie信息进行了更改,更改为admin' order by 4 # 经典的判断检索字段个数的语句。我们可以判断出原本的SQL语句的检索字段为3。

然后使用联合查询,查一下当前使用的数据库以及该数据库下有哪些数据表。
在这里插入图片描述
这里构造的语句为:' union select 1, (database()), (select group_concat(table_name) from information_schema.tables where table_schema="security") #
这条语句在之前关卡中几乎是不可或缺的,就不再罗嗦了。

知道了这个手法以后,后面的操作就和之前无异了。因此不在多说。

3.2 抓包更改cookie

抓包的方式有很多中,可以使用burp suite抓包更改数据,我这里就用tamper data进行演示了。
在这里插入图片描述
在发送到服务器之前,我们将cookie中的信息进行更改,这里使用的还是' union select 1, (database()), (select group_concat(table_name) from information_schema.tables where table_schema="security") #

然后可以看一下结果
在这里插入图片描述
和修改本地cookie的结果一致。
在这里插入图片描述
和第一个手法不同的是,我们本地的cookie却并未改变。

老司机开代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs靶场实现(八)【cookie注入+cookie base64编码注入】(less-20、less-22、具体步骤+图文详解)
weixin_46709219的博客
01-03 1033
一)cookie注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 二)cookie base64编码注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 —————————————————————————————————————————————————— 一)cookie注入 1)cookie介绍: 服务器可以利用cookie包含信息的任意性来筛选并经常性的
Less-20
m0_62094846的博客
03-31 818
只能用cookie传参,如果用POST传参,就会提示用cookie,无论cookie中输入什么都是这样 uname=1'# uname=1' order by 3# uname=1' order by 2# 都不会有任何回显,但是4就会报错,也只会报错 但是select的时候又直接回显了,不知道为什么order by 1和2的时候不报错 uname=1' union select 1,2,3# 所以按照正常的查就可以了 uname=1' union select d...
Sqllibs-Less20-22-cookie注入
Xor0ne
07-13 406
文章目录20.Less20-Cookie Injection-Error Based20.1、注入分析20.2、代码分析21、Cookie Injection-Error Based21.1、注入分析21.2、代码分析22.Less22-Cookie Injection-Error Based-Double Quotes22.1、注入分析22.2、代码分析 20.Less20-Cookie Injection-Error Based 20.1、注入分析 有源码我们可知,当我们第一次输入username和pa
会话跟踪技术Cookieless
03-02 124
会话跟踪技术Cookieless 在Web应用中,通常使用Cookie记录用户的状态,如用户名、访问时间等信息。当进行HTTP请求的时候,会自动发送Cookie信息给服务器。服务器接收到,就可以判...
sqli-labs/Less-20
m0_71299382的博客
11-18 224
sqli-labs第二十关
sqlilabs 75关中文目录
01-11
6. **标头和Cookie注入**:Less-18至Less-21讨论了如何利用HTTP标头(如User-Agent和Referer)和Cookie中的注入点,扩大了攻击面。 7. **注释符绕过**:Less-23展示了如何利用注释符来绕过过滤机制,继续注入。 8....
第17天:WEB漏洞-SQL注入之二次,加解密,DNS等注入1
08-03
1. **sqlilabs-less21-cookie&加解密注入**:这个例子可能涉及到应用对用户提交的cookie值进行解密,而解密过程未充分验证,导致了注入漏洞。 2. **sqlilabs-less24-post 登陆框&二次注入**:登录表单通常会处理用户...
ASP.NET程序开发范例宝典20
06-11
读者将学习选择器的使用,理解盒模型,掌握布局技巧,如浮动、定位和Flexbox或Grid布局,以及如何使用CSS预处理器如Sass和Less来提高代码的可维护性。 然后,书中的内容会过渡到ASP.NET的核心概念,如控件、页面...
袁孝健-06172151-网络攻防作业1
08-03
实验中包括了多个级别,从基础的Less-1到进阶的Less-10,逐步展示了不同类型的SQL注入技术,如盲注、时间延迟注入等。学习者通过这些实验能够理解如何检测和防止SQL注入攻击,提升对数据库安全性的认识。 1.1 - ...
网络安全作业-by cumt梅苑杀手.docx
08-08
sqli-labs提供的不同练习(less-1至less-20)旨在让学习者逐步掌握检测和防止SQL注入的方法。例如,less-1通常会介绍基础的注入概念,而随着级别的提升,难度会增加,涉及到更复杂的数据操纵和盲注技巧。完成这些...
cookie注入源码
04-24
cookie注入源码 asp cookie注入源码 cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了。
【SQL注入-10】cookie注入案例—以Sqli-labs靶机第less20关为例(借助BurpSuite工具)
m0_64378913的博客
05-06 1896
目录1 cookie注入概述2 cookie注入案例2.1 实验平台2.2 实验过程3.1 前戏 1 cookie注入概述 定义:cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数以cookie的方式提交。 一般的注入我们是使用get或者post方式提交: get方式提交就是直接在网址后面加上需要注入的语句; post则是通过表单方式, get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。 2 cookie注入案例 2.1 实验平台 靶机:Ce
sqli-labs (less-20)
kukudeshuo的博客
03-11 312
sqli-labs (less-20) 进入20关,输入用户名和密码后,屏幕回显了我们的USER AGENT、IP地址、cookie信息 通过回显的为cookie信息我们猜测这关注入点很有可能在cookie里,题目提示也告诉我们为cookie注入 这里我们利用火狐的一个小工具来抓取cookie的信息,这个工具的名字为Cookies Manager +,我们打开来查看当前页面的cookie信息 我们输入’试试 屏幕回显报错 根据报错信息判断闭合方式为’#,并且为字符型注入 判断字段长度 判断字段
sqli-labs (less20-less22)
Xi4or0uji
08-01 991
less 20 cookie注入 这关首先看源码可以看见首次登录,后台会把username放去cookie,再次登录的时候,如果cookie没过期,就会去cookie里面取值,然后进行查询,至于sql语句就是 所以我们只要去改掉他的cookie就可以拿到数据库的东西了 最后改出来是上面那个,为什么这样写呢,sql查询语句如果前面为空,就会将后面查出来的信息给出来 因为源码后面是将...
sqli-labs Less-20cookie注入
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-03 345
本篇文章使用的环境为sqli-labs Less-20 不懂为什么使用账户admin:admin登陆后页面没有正常返回cookie,所有我使用工具添加了一条cookie信息, 使用burp suite抓取流量包 1、修改cookie值,发现是使用单引号闭合的 此处可以看到页面存在报错信息,可以使用报错注入 2、判断字段数 通过使用order by 进行判断,发现存在3个字段 3、尝试使用联合查询(使用联合查询时,需要使前面的查询语句结果为假),判断当前页面是否有显示位 可以看到当前页面存在显示位置
Cookies注入
LoveStarbucks的博客
01-03 293
Cookies注入 1.Cookie介绍 2.Cookie注入代码分析 代码中使用Cookie传递参数,但是没有对Cookie中传递的参数进行过率操作。导致SQL注入漏洞的产生 3.Cookie注入利用 sqli20 利用‘or 1=1 --+输出第一个用户名和密码 4.Sqlmap安全检测 Sqlmap Cookie注入 sqlmap -r target.txt --level 3 --ba...
less12-less20()
qq_36567469的博客
03-20 4004
总结 user_agent注入 referer注入 cookie注入 updatexml()报错注入 less12 用户名密码输入 a") or ("1"="1 得到一个账户Dumb、Dumb。 用户名密码处分别输入计算出行数 Dumb") and ("1"="1 Dumb") and 1=1 order by 2-- 输入 Dumb") and ("1"="2 Dumb") and 1=2 union select 1,2-- 输入 Dumb") and ("1"="2 Dumb") and 1
SQLi LABS Less-20 Cookie注入
wangyuxiang946的博客
06-23 1万+
SQLi第二十关,sqllabs less-20,sqli-labs less20
sessionState 配置方案之cookieless
热门推荐
sniper007的专栏
07-09 2万+
ASP.NET中客户端Session状态的存储 在我们上面的Session模型简介中,大家可以发现Session状态应该存储在两个地方,分别是客户端和服务器端。客户端只负责保存相应网站的SessionID,而其他的Session信息则保存在服务器端。在ASP中,客户端的SessionID实际是以Cookie的形式存储的。如果用户在浏览器的设置中选择了禁用Cookie,那末他也就无法享受Sessi
sql注入less23
最新发布
03-16
在less23中,它是一个用于演示SQL注入的示例网站。在该示例中,存在一个漏洞,攻击者可以通过在输入字段中插入恶意的SQL代码来绕过应用程序的验证和过滤机制,从而执行未经授权的数据库操作。 为了防止SQL注入攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值