cookie注入
发表于:2024-10-01 作者:千家信息网编辑
千家信息网最后更新 2024年10月01日,(1)只有登陆框 ,暴力破解,弱口令,发现可以进去(2)登陆进去后看看提示发现有很多报文字段,我们看到uname = YWRtaW4解码base64,发现为admin第二个专抓取的get包为需要获取的
千家信息网最后更新 2024年10月01日cookie注入
(1)只有登陆框 ,暴力破解,弱口令,发现可以进去
(2)登陆进去后看看提示
发现有很多报文字段,我们看到uname = YWRtaW4
解码base64,发现为admin
第二个专抓取的get包为需要获取的
我们测试几个字段,发现只有cookie字段可以改
测试方法为 在后边加上' 或 ' 1 AND 1 或 '1 and 2
抓取到的包为:
GET /index.php HTTP/1.1Host: abd9e1fcc55c7513.yunyansec.comCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8Referer: http://abd9e1fcc55c7513.yunyansec.com/index.phpAccept-Language: zh-CN,zh;q=0.9Cookie: uname=YWRtaW4%3DConnection: close
(3)使用sqlmap来测试注入
使用 -u 指定连接
-p 指定注入参数
-v 显示注入过程
-level 指定等级
-tamper 指定脚本
cookie注入可以指定cookie 也可以将post包直接打包成txt文件
保存报文到1.txt
获得的结果
(4)查看数据库和表
使用 -D 指定数据库 。 --table 列出表
查看结果
(5)获取表数据
-T 指定表 --columns
结果
(6)取数据使用 -C 指定列 --dump取数据
最后得到结果了
数据
结果
字段
测试
只有
报文
数据库
登陆
参数
口令
文件
方法
暴力
等级
脚本
过程
提示
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
计算机网络安全维护
网络安全系统哪里找
软件开发三司会审
中专考专科计算机网络技术
康乐网络技术
php网站数据库文件
为什么从软件开发转测试
计算机网络技术可以对口吗
易语言数据库和支持库区别
sdlserver数据库技术
巴中软件开发方案
戴尔服务器远程管理激活
兰州陇助微互联网科技有限公司
公安网络安全建议
qq登陆服务器连接失败
服务器管理器防火墙
比特币病毒与网络安全
网络安全手绘画作品小学
服务器 个人电脑
在数据库技术中数据进行抽象
普通学历软件开发工作工资
手机连接服务器下载什么
网络安全最严峻的问题
网络安全法主持的内容
网络安全文明上网语
股票软件开发 价格
网络安全 国防教育教育班会
彩票投注计划软件开发
软件开发公司如何定价
太原软件开发月薪多少