本次用到的靶场是由掌控学院提供的sql注入靶场
引言~
cookie注入的原理也和平时的sql注入大同小异,一般的sql注入我们是使用get或者post方式提交的,而cookie注入只不过我们是将提交的参数已cookie方式提交罢了,get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式提交,可以通过bp等工具来拦截数据改包,get和post的不同之处就在于一个我们可以通过URL地址栏处看到我们提交的参数,而另外一个却不能。
而相对post和get方式注入来说,cookie注入就要稍微繁琐一些了,要进行cookie注入,我们首先就要修改cookie,这里就需要使用到ModHeader插件。
另外cookie注入的形成要有两个必须条件:
条件1是:后台对get和post方式提交的数据进行了过滤,但未对cookie提交的数据库进行过滤。
条件2是:在条件1的基础上还需要程序对提交数据获取方式是直接request(“xxx”)的方式,未指明使用request(请求)对象的具体方法进行获取,也就是说用request这个方法的时候获取的参数可以是是在URL后面的参数也可以是cookie里面的参数这里没有做筛选,之后的原理就像我们的sql注入一样了。
正文开始~
一.信息收集
1.打开传送门,映入眼帘的是一个新闻门户站。 我们点击一条新闻,为什么要点击新闻呢?因为一般新闻页面的功能都是与数据库进行交互的。
通过URL我们可以得知,是网站下的shownews.asp这个ASP动态网页文件,与数据库进行交互,并查询出了第171篇(id=171)新闻内容的值。
2.紧接着我们来猜一下页面数据表的字段数
通过页面可以清楚的看出,查询当前表是否有10个字段,页面返回正常,于是我们继续拼接order by,但把10改成11,这时候页面报错,基本可以判断字段数为10个了
这时候虽然知道了字段数,但是还不清楚显示位是多少,接着我们通过联合查询来回显,因为字段数为10,所以相应的,联合查询所查询的字段数也要一致为10为,不然查询的字段数和数据库里面存的表字段数不一致会报错!!
访问发现有waf(防火墙之类的web硬软件),经测试只要url出现select(查询)关键字,就会被拦截。
3.这时候我们的cookie注入就要派上用场了,我们尝试,将测试语句放到cookie里面,再发送给服务器,因为网页防护一般只拦截Get、post传参,这里用到了ModHeader插件
可以看到页面正常,这证明cookie里的id=171,也能正常传参,被当作sql语句拼接。那我们直接进行注入
4.接着我们再来查询一下当前页面的回显位
数据库中不存在abc这个表,自然就出错了,使用更换from 处可以来猜解表明
继续猜测是否存在admin表
id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin
+号代替空格,不然会出错
可以发现页面回显了2、3、7、8、9
信息收集完成,接下来我们开始来爆数据了
二.数据收集
我们接着继续尝试猜测最常见的管理表字段名Username和Password,我们在2、3、7、8、9中任选两个,分别填入Username和Password
id=171+union+select+1,username,3,4,5,6,7,8,password,10+from+admin
接着刷新页面,发现页面返回了admin表中,username和password字段的值:admin、b9a2a2b5dffb918c
这应该就是管理员用户名和密码了,但管理员密码看起来有些奇怪。字母+数字的16位组合,很像md5的特征。
打开cmd5.com(解密站点)
将b9a2a2b5dffb918c进行解密。
通过cmd5解密发现密码的明文是welcome。
成功获取了管理员账号密码,接着我们去寻找后台登录
三.后台登录
既然管理员这么不小心都用上username和password这种大众的密码存放表了,再次盲猜后台的登录界面为admin
回车后出现管理员登录页面,输入用户名admin、密码welcome,填写验证码。
成功登陆!到此,成功通过cookie注入绕过防得到密码,登陆后台拿到flag!
