cookie注入
发表于:2025-01-20 作者:千家信息网编辑
千家信息网最后更新 2025年01月20日,(1)只有登陆框 ,暴力破解,弱口令,发现可以进去(2)登陆进去后看看提示发现有很多报文字段,我们看到uname = YWRtaW4解码base64,发现为admin第二个专抓取的get包为需要获取的
千家信息网最后更新 2025年01月20日cookie注入
(1)只有登陆框 ,暴力破解,弱口令,发现可以进去
(2)登陆进去后看看提示
发现有很多报文字段,我们看到uname = YWRtaW4
解码base64,发现为admin
第二个专抓取的get包为需要获取的
我们测试几个字段,发现只有cookie字段可以改
测试方法为 在后边加上' 或 ' 1 AND 1 或 '1 and 2
抓取到的包为:
GET /index.php HTTP/1.1Host: abd9e1fcc55c7513.yunyansec.comCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8Referer: http://abd9e1fcc55c7513.yunyansec.com/index.phpAccept-Language: zh-CN,zh;q=0.9Cookie: uname=YWRtaW4%3DConnection: close(3)使用sqlmap来测试注入
使用 -u 指定连接
-p 指定注入参数
-v 显示注入过程
-level 指定等级
-tamper 指定脚本
cookie注入可以指定cookie 也可以将post包直接打包成txt文件保存报文到1.txt
获得的结果
(4)查看数据库和表
使用 -D 指定数据库 。 --table 列出表
查看结果
(5)获取表数据
-T 指定表 --columns
结果
(6)取数据使用 -C 指定列 --dump取数据最后得到结果了
数据
结果
字段
测试
只有
报文
数据库
登陆
参数
口令
文件
方法
暴力
等级
脚本
过程
提示
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
利用服务器深度学习
运行数据库运维管理
数据库怎么表示总分
云南省 软件开发 支持
十八大网络安全应急预案
数据库的logo
常用的网络安全产品主要包括
威斯特摩网络技术有限公司
奉贤区一站式数据库服务制品价格
数据库中的count函数用法
防城港网络安全等级保护
怎么在方舟找个好玩的服务器
软件开发校区
学习贴片机软件开发方法
河南软件开发者单位
中文金手指数据库
行车数据怎样传输到服务器
湖南数据软件开发价格优惠
天津语音网络技术五星服务
服务器错误.请联系管理员
神经网络技术的发展的成功
中小学生与网络安全张莉
河南卓丰网络技术有限公司
淮南门店管理软件开发要多少钱
dnf服务器安全检查
监控服务器怎么添加监控
法治新时代网络安全
数据库设计课程引入
考研数据库大连海事大学
服务器等级制度
