博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
SQL注入---Cookie注入
阅读量:2066 次
发布时间:2019-04-29

本文共 541 字,大约阅读时间需要 1 分钟。

Cookie注入

实验环境:

皮卡丘靶场—HTTP Header注入

Cookie作用:

Cookie用于跟踪会话,后台会获取前端cookie来进行验证操作。

实验步骤:

  1. 根据提示,先login(admin/123456)

    在这里插入图片描述

  2. 使用burpsuite进行抓包,并发送到repeater中

    在这里插入图片描述

  3. 此处有[uname]和[pw],因此猜测此处可能为用户用于登录的cookie

  4. 在用户名admin后面增加单引号admin’

    在这里插入图片描述

  5. 查看返回报文,有数据库报错信息:

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘10470c3b4b1fed12c3baac014be15fac67c6e815’’ at line 1

  6. 构造payload:admin’ and updatexml(1, concat(0x7e, database()), 0)# 或 admin’ or updatexml(0, concat(0x7e, database()),1)#

    在这里插入图片描述

  7. 在返回报文中显示了当前数据库

    在这里插入图片描述

转载地址:http://esfmf.baihongyu.com/

你可能感兴趣的文章
【深度学习】LSTM的架构及公式
查看>>
【深度学习】GRU的结构图及公式
查看>>
【python】re模块常用方法
查看>>
剑指offer 19.二叉树的镜像
查看>>
剑指offer 20.顺时针打印矩阵
查看>>
剑指offer 21.包含min函数的栈
查看>>
剑指offer 23.从上往下打印二叉树
查看>>
剑指offer 25.二叉树中和为某一值的路径
查看>>
剑指offer 26. 数组中出现次数超过一半的数字
查看>>
剑指offer 27.二叉树的深度
查看>>
剑指offer 29.字符串的排列
查看>>
剑指offer 31.最小的k个树
查看>>
剑指offer 32.整数中1出现的次数
查看>>
剑指offer 33.第一个只出现一次的字符
查看>>
剑指offer 34.把数组排成最小的数
查看>>
剑指offer 35.数组中只出现一次的数字
查看>>
剑指offer 36.数字在排序数组中出现的次数
查看>>
剑指offer 37.数组中重复的数字
查看>>
剑指offer 38.丑数
查看>>
剑指offer 39.构建乘积数组
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-05-16 21:49:39   当前IP: 18.223.106.199   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我