網絡安全系列之八 Cookie注入（注入中轉）

在前面的幾篇博文中，我們已經成功拿下了南方數據2.0的模板網站，接下來我們將目標網站換成南方數據5.0模板，下載地址：http://down.51cto.com/data/553330 。實驗環境跟之前一樣，目標服務器IP地址192.168.80.129，***主機IP地址192.168.80.128。

首先我們仍是找一個有參數傳遞的頁面，在URL后面加上“and 1=2”進行測試，可以發現這些常用的sql注入命令已經被過濾掉了。

這里我們可以使用一種更為高級的注入方式——cookie注入。cookie注入其原理也和平時的注入一樣，只是將參數以cookie的方式提交，而一般的注入我們大都是使用get方式提交，get方式提交就是直接在網址后面加上需要注入的語句。

下面我們借助于工具sqlHelper來進行cookie注入，下載地址http://down.51cto.com/data/1881323 。

首先將存在有參數傳遞的頁面完全打開，并將url復制下來：http://192.168.80.129/shownews.asp?id=15。

運行sqlHelper中的“注入中轉”工具，選擇“cookie注入”，并按下圖的格式進行填寫。注意“post提交值”一定要用默認的“jmdcw=”，后面的“15”就是剛才所打開的網頁所傳送的參數值。

設置好之后，點擊“生成ASP”，此時會在sqlHelper軟件目錄下生成兩個asp網頁文件jmCook.asp、jmPost.asp。

下面我們在***主機上也安裝小旋風ASPWeb服務器搭建一個Web環境，并將jmCook.asp和jmPost.asp這兩個文件復制到網站主目錄wwwroot中。

打開瀏覽器，在地址欄中輸入“127.0.0.1/jmCook.asp?jmdcw=15”來訪問剛才所生成的網頁，此時就在本地打開了之前曾訪問的那個頁面。

在這個頁面中，我們就可以使用之前的那些注入語句來實現注入了。

為了簡化操作，我們也可以利用明小子之類的工具來快速注入。將地址“127.0.0.1/jmCook.asp?jmdcw=15”復制到明小子的SQL注入菜解檢測中，很快就能爆出管理員賬號以及密碼。

可以發現admin的密碼仍然是“3acdbb255b45d296”，也就是0791idc。

在地址欄中輸入“http://192.168.80.129/admin/Login.asp”登錄網站后臺，可以看到網站雖然安全性有所增強，但數據庫備份的漏洞仍然存在。

我們仍是先將webshell以圖片的形式上傳，得到路徑“http://192.168.80.129/UploadFiles/20141011145142292.jpg”，然后在數據庫備份中指定所上傳的圖片路徑，并將備份后的文件后綴更改為.asp，這樣就又成功上傳了WebShell。

 后續就又是提權的過程，具體操作可參考之前的博文。