cookie注入
发表于:2025-12-01 作者:千家信息网编辑
千家信息网最后更新 2025年12月01日,(1)只有登陆框 ,暴力破解,弱口令,发现可以进去(2)登陆进去后看看提示发现有很多报文字段,我们看到uname = YWRtaW4解码base64,发现为admin第二个专抓取的get包为需要获取的
千家信息网最后更新 2025年12月01日cookie注入
(1)只有登陆框 ,暴力破解,弱口令,发现可以进去
(2)登陆进去后看看提示
发现有很多报文字段,我们看到uname = YWRtaW4
解码base64,发现为admin
第二个专抓取的get包为需要获取的
我们测试几个字段,发现只有cookie字段可以改
测试方法为 在后边加上' 或 ' 1 AND 1 或 '1 and 2
抓取到的包为:
GET /index.php HTTP/1.1Host: abd9e1fcc55c7513.yunyansec.comCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8Referer: http://abd9e1fcc55c7513.yunyansec.com/index.phpAccept-Language: zh-CN,zh;q=0.9Cookie: uname=YWRtaW4%3DConnection: close(3)使用sqlmap来测试注入
使用 -u 指定连接
-p 指定注入参数
-v 显示注入过程
-level 指定等级
-tamper 指定脚本
cookie注入可以指定cookie 也可以将post包直接打包成txt文件保存报文到1.txt
获得的结果
(4)查看数据库和表
使用 -D 指定数据库 。 --table 列出表
查看结果
(5)获取表数据
-T 指定表 --columns
结果
(6)取数据使用 -C 指定列 --dump取数据最后得到结果了
数据
结果
字段
测试
只有
报文
数据库
登陆
参数
口令
文件
方法
暴力
等级
脚本
过程
提示
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
vfp数据库表求和公式
rpg是用什么软件开发的
我的世界客户端登录服务器太卡
有人串口服务器sina
数据库查询功能生成汇总表
219年国家网络安全主题
宝塔导入数据库文件损坏
天津大学网络安全
数据库建立必须要建模式
.gdb数据库教学下载
软件开发倒排时间表
长盈国际软件开发
国家电网关于网络安全法
网络安全法自什么时候实行
管理的服务器
江西服务器电源生产商
通过外网访问内网服务器
江苏恒山系列鲲鹏服务器单价
和平精英哪个服务器是正版
触觉效果软件开发工具包详解
网络安全防护认证考试
美萍数据库损坏怎么修复
网络安全招标有哪些资质要求
网络安全等级保护许可证
数据库软考改卷严吗
nvr安防管理服务器
网络安全法自什么时候实行
在数据库关系模型中实体通常
镇上刑警需要网络技术侦查
传统科技互联网股票
