cookie注入

通常我们的开发人员在开发过程中会特别注意到防止恶意用户进行恶意的注入操作，因此会对传入的参数进行适当的过滤，但是很多时候，由于个人对安全技术了解的不同，有些开发人员只会对get,post这种方式提交的数据进行参数过滤。

 

但我们知道，很多时候，提交数据并非仅仅只有get\post这两种方式，还有一种经常被用到的方式：request("xxx"),即request方法

通过这种方法一样可以从用户提交的参数中获取参数值，这就造成了cookie注入的最基本条件：使用了request方法，但是注入保护程序中只对get\post方法提交的数据进行了过滤。

 

cookie注入其原理也和平时的注入一样，只不过说我们是将提交的参数已cookie方式提交了，而一般的注入我们是使用get或者post方式提交，get方式提交就是直接在网址后面加上需要注入的语句，post则是通过表单方式，get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数，而另外一个却不能。

 

相对post和get方式注入来说，cookie注入就要稍微繁琐一些了，要进行cookie注入，我们首先就要修改cookie，这里就需要使用到Javascript语言了。另外cookie注入的形成有两个必须条件，条件1是：程序对get和post方式提交的数据进行了过滤，但未对cookie提交的数据库进行过滤。条件2是：在条件1的基础上还需要程序对提交数据获取方式是直接request("xxx")的方式，未指明使用request对象的具体方法进行获取。

 

cookie是代表身份的字符串。网站根据cookie来识别你是谁，如果你获取了管理员的cookie，你可以无需密码直接登录账号。

cookie本身机制就不安全。

检测是否存在cookie，不存在，服务器会给你一个。如果没有登录，那么cookie就是游客状态。如果你登录了AD账号，那么那个cookie代表的就是AD账号。

可通过此方法获取参数：火狐浏览器查看元素->存储器-》cookie->+->名称改为id->值改为zkaq->刷新页面

$_REQUEST:在PHP高于5.4的版本不会获取cookie，cookie注入一般在ASP的站点比较多。

注意点：cookie传参需要URL编码。

可以通过很多方法设置cookie：方法一：抓包、改包，添加一个cookie字段在请求里面。

                                               方法二：用javascript来设置cookie。具体操作方法：打开控制台，输入document.cookie,回车（也可用hackbar）

escape（）：对字符串进行编码，这样就可以在所有的计算机谁给你读取改字符串。

 

Access数据库很老，严格来说只有一个库，没有系统自带库，一般来说账号密码就是在admin表的username字段和password字段。

用sqlmap：-u  "URL"   --cookie "id=xxx"    --level 2

cookie注入不知道库名怎么办：就一库，没必要知道。

不知道表：exist()函数，eg:1.exists(select * from news)2.爆破

知道表名不知道列名（字段名）的时候可以考虑使用偏移注入

 

用select 表名.* from 表名 可以查出表

 

总的来说和联合查询显错注入很像

 

传统的偏移注入需要用到内连接

 

 

 

找注入点思路：瞎几把乱点找数据库传参，像什么图片啊、文章啊都可以

然后尝试注入

 

使用cookie的偏移注入时，需要将cookie的值用url编码加密一次

可以使用Javascript的document.cookie="id="+escape("105 order by 1");

直接输入正常字符串，通过escape函数来自动生成url编码过的cookie值

 

在设置完cookie传参之后，去掉url地址中的？传参，同样可以访问到该页面

以下是原网页

 

以下是构建了cookie的（注意地址栏对比）

 

也可以通过抓包修改cookie值

在Accssess数据库中，无法使用mysql数据库中的select 1,2,3…来直接猜显示点

在这个时候就需要穷举，穷举表，自己猜表然后用select 1,2,3… from 表 的方式来爆显示点

只要数据库存在这个表，那就可以显示表

比如说（已知这张表有26个字段）

 

105 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin

有显示数字，说明这张表存在

表名不存在的时候直接报错

而有一些输出点是比较隐晦的，不直接显示在页面上，比如说图中的未加载图片，其实它也是一个输出点，在源码中的<img src='25'>会显示

 

现在已经知道有个admin表了，可以使用前面提到的admin.*了

但是在直接select 1,2,3,admin.*之前有一件事很重要，就是猜admin表的字段数。因为当你把admin.*插入select 语句时，要小心union select语句前后字段数不一致。也就是说当admin表字段数大于等于当前表字段数的时候，无法进行偏移注入，要么GG，要么找到一个字段数更多的表来偏移注入。

现在我们已知当前表的字段数是26，那么如果是union select 1,2,3…,24,25,26,admin.*的话，就相当于是select 26 union select 26+admin表字段数，这样联合查询前后表字段数不一致肯定会报错，现在就是猜admin表的字段数，猜是1个字段时：…25,26 union select 1,2,3…,24,25,admin.*——报错

然后猜admin表有两个字段：…25,26 union select 1,2,3…,24,admin.*——报错

然后猜admin表有三个字段

以此类推

……

……

最后试到union select 1,2,…10,admin.*的时候正常显示，说明admin表有16个字段

 

然后将admin.*平移到显示点，将后面的位置填上：

union select 1,2,3,4,5,6,admin.*,23,24,25,26

语句执行后，在显示点上显示的就是admin表中第一个字段的数据

查询admin表中第二个字段的数据时，再平移一位union select 1,2,3,4,5,admin.*,22,23,24,25,26

以此类推

 

通常用户表的设置是id,name,password，。。。这样的

而且通常遇到明显加密过的很有可能是password，这个时候用md5解密得到密码

 

 

 

也可以用火狐hackbar直接进行cookie注入，但注意需要URL加密。