亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲)

發布時間:2020-07-27 14:19:27 來源:網絡 閱讀:11251 作者:yttitan 欄目:安全技術

在Web頁面中,數據提交有3種方式:get、post、cookie。傳統的在注入點后面加上“and 1=1”之類的注入命令,這都屬于是get提交方式。而很多網站在進行過濾時,也大都是只針對get方式進行過濾,因而這就為Cookie注入提供了機會。

在之前的博文中已經通過注入中轉的方式介紹了cookie注入,為了加深對cookie注入的了解,這里使用BurpSuite進行抓包,并利用穿山甲pangolin來進行cookie注入。仍然使用之前搭建好的實驗環境,目標網站采用南方數據5.0模板,目標服務器IP地址192.168.80.129,***主機IP地址192.168.80.128。

 

Burp Suite是一個強大的Web***綜合平臺,其使用也比較復雜,這里主要用到它的抓包功能。軟件下載地址:http://down.51cto.com/data/1889494,Burp Suite要基于Java環境運行,因而還需要在***主機中安裝Java。

打開目標網站,然后在瀏覽器中將本機設為代理服務器,端口號8080。這樣所有通過瀏覽器發往網上的數據都將被Burp Suite截獲。

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

打開某個網頁,此時數據被BurpSuite截獲,從截獲的數據中可以看到,“?id=25”這類信息都是以get方式提交的。

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

點擊forward,就可以將數據轉發出去,正常打開網頁。在地址欄中加上“and 1=1”等注入語句,按下回車之后,數據再次被BurpSuite攔截到。

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

從攔截的數據中看到,get所提交的數據變成了我們剛才所輸入的注入語句。

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

明白了數據提交的原理之后,下面我們利用工具“穿山甲”來進行cookie注入。

運行穿山甲,將注入點URL復制到網址欄中,然后點擊工具欄上的檢查按鈕,穿山甲可以自動判斷出注入類型為cookie注入(如果檢測不出來,可以多嘗試幾個URL),

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

然后點擊“獲取數據”->“獲取表”,就能爆出數據庫中包含的表,其中我們關心的很明顯是“admin”表。

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

勾選“admin”表,點擊獲取列,爆出表中包含的字段。

網絡安全系列之十七 cookie注入(BurpSuite+穿山甲) 

選中password和username字段,在右側窗口中點擊獲取數據,成功爆出用戶名和密碼。

 網絡安全系列之十七 cookie注入(BurpSuite+穿山甲)

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

庆云县| 兴义市| 大城县| 罗山县| 长顺县| 上高县| 屏东县| 宣恩县| 容城县| 横山县| 富阳市| 喀什市| 新昌县| 昭通市| 外汇| 廉江市| 桐城市| 蓝山县| 五大连池市| 治多县| 庐江县| 商河县| 益阳市| 同德县| 台中县| 浑源县| 滁州市| 柘荣县| 汶上县| 黄平县| 名山县| 龙山县| 图们市| 上饶县| 衡水市| 道孚县| 桐乡市| 威信县| 分宜县| 宁强县| 阳高县|