已阅读5页,还剩13页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Cookie中转注入详细讲解,讲师:adwin (论坛ID:_夜),2011.4.30,Cookie中转注入,随着网络安全逐渐被大家所重视,现在存在注入漏洞的网站越来越少(此处指asp+acc或mssql),大多数网站使用了通用防注入程序,有的网站虽然没有直接使用通用防注入,但是其关键代码也是相差无几。 那么我们是不是就不能对这样的网站进行注入了呢?不!其实针对很多网站我们都可以使用cookie中转进行注入。 今天我们就拿一个实际的例子来给大家讲解如何进行cookie中转注入。考虑到大家水平不一,本次讲解还会同以前一样比较详细。,这就是我们今天的例子:沈阳音乐学院南校区网站,在URL后面加上一个单引号判断注入,在URL后面加上一个单引号判断注入,防注入,不能直接进行注入!,判断是否存在cookie注入,关于判断是否存在cookie注入的方法,百度一下会有很多相关的文章, 那些东西我就不再说了,如果大家感兴趣的话可以百度一下看看。 这里我只给大家说一下我一般用来判断的方法。,判断是否存在cookie注入,判断是否存在cookie注入,利用cookie中转进行注入,我们来先看一下,寂寞的刺猬 写的一款中转生成器,这个生成器到底是用来做什么的,一会大家就知道了,现在我们来讲一下cookie注入的基本步骤。 首先我们打开这款中转生成器。,利用cookie中转进行注入,我们来先看一下,寂寞的刺猬 写的一款中转生成器,这个生成器到底是用来做什么的,一会大家就知道了,现在我们来讲一下cookie注入的基本步骤。 首先我们打开这款中转生成器。,利用cookie中转进行注入,我们选中cookie注入以后就要开始填写左面的选项了。首先我们把要进行注入的链接粘贴进“注入URL页”和“来源页”中。 然后把URL中的参数名称填入上面的“注入键名”。 “post提交值”中将00改为URL中参数的值。 最后把URL中的“?”以及后面的参数部分去掉。 填写好后如下图所示。,利用cookie中转进行注入,我们选中cookie注入以后就要开始填写左面的选项了。首先我们把要进行注入的链接粘贴进“注入URL页”和“来源页”中。 然后把URL中的参数名称填入上面的“注入键名”。 “post提交值”中将00改为URL中参数的值。 最后把URL中的“?”以及后面的参数部分去掉。 填写好后如下图所示。,利用cookie中转进行注入,然后点击“生成asp”就可以在程序的根目录下生成一个用来中转的asp文件。 我们需要把这个asp文件上传到一个支持asp的网络空间中去,这里我用一个webshell将这个asp文件传了上去。我们访问这个刚刚上传上去的asp文件。,利用cookie中转进行注入,现在我们可以看到,我访问的这个地址虽然是肉鸡网站的地址,但是我们看到的却是刚才检测注入的页面。,利用cookie中转进行注入,大家现在可能已经发现了,这样没有参数的链接是无法进行注入的。那么我们现在把刚才在中转生成器中填写的“post提交值”一栏中的内容添加到现在的URL的后面(不要忘了中间的“?”),那么现在的URL就变成了:/image/new.asp?jmdcw=761 我们访问这个地址,发现了什么?是不是可以进行注入了?我们现在打开啊D来进行注入检测,看一下是否可以注入。,利用cookie中转进行注入,大家现在可能已经发现了,这样没有参数的链接是无法进行注入的。那么我们现在把刚才在中转生成器中填写的“post提交值”一栏中的内容添加到现在的URL的后面(不要忘了中间的“?”),那么现在的URL就变成了:/image/new.asp?jmdcw=761 我们访问这个地址,发现了什么?是不是可以进行注入了?我们现在打开啊D来进行注入检测,看一下是否可以注入。,可以检测,已经开始检测了,注意!,我们用啊D进行注入检测的时候虽然注入链接中显示的是这个网站的链接,但我们实际检测的网站是这个网站。 我们只是利用这个网站来进行中转。,本次课程到此结束,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- RFID技术在离散制造企业的应用研究
- 也谈游戏在体育课堂上的运用
- 一年级下数学导学案-阅览室2-北师大版
- 2024年4月内蒙古包头轻工职业技术学院招考聘用20人笔试参考题库附带答案详解
- 2024年3月科技日报社招考聘用应届生笔试参考题库附带答案详解
- 2024年3月湖北恩施州州直企事业单位引人才12人笔试参考题库附带答案详解
- 2024年3月北京市通州区卫生健康委员会所属事业单位招考聘用135人笔试参考题库附带答案详解
- 2024年3月广东深圳博物馆劳务派遣工作人员招考聘用笔试参考题库附带答案详解
- 2024年3月四川雅安石棉县考调事业单位工作人员17人笔试参考题库附带答案详解
- 永磁电机项目经济效益分析报告
- 业务流程管理(Business Process Management)
- 李姓来源的现状调查报告
- 一年级-自己的事情自己做课件
- 截肢术后护理查房
- 有课程思政视角下中学数学教学探讨
- 部编九上三单元(《岳阳楼记》《醉翁亭记》《行路难》《湖心亭看雪》《水调歌头》)大单元学习任务群设计
- 继电保护测试题(含答案)
- 项目可行性研究报告的法律意见书范文
- 普通诊所污水、污物、粪便处理方案及周边环境情况说明
- DB37T 4653-2023 全域公交一体化实施指南
- 废旧金属回收有限公司安全生产规章制度
评论
0/150
提交评论