返回列表 发帖

Cookie注入查找与利用

转自[D.R.T]
现在一般的SQL注人都很少了,但COOKIEZ注人现在是满多的.嘿嘿.只要检测出有COOKIE注人,那可以说是比死.....(夸张)
那我就写一个Cookie注入查找与利用文章吧.
现在SQL注入都很少了,就算有也没有多大的用处。现在我就教大家怎么利用Cookie注入。Cookie注入就是饶过一些简单的防SQL注入程序,我们怎么可以看一个网站有Cookie注入啊。我就在本地架设个网站,大家在网上利用都是一样的。

一。判断是否Cookie注入



我们先找的连接








把地址http://127.0.0.1/shownews.asp?id=31换成javascript:alert(document.cookie="id="+escape("id and 1=1"))


Id改成31javascript:alert(document.cookie="id="+escape("31 and 1=1"))


然后回车弹出对话框








然后在地址栏输入http://127.0.0.1/shownews.asp访问看到是正常页面










然后再在地址栏输入javascript:alert(document.cookie="id="+escape("id and 1=2"))然后回车出现如下









再在地址栏输入http://127.0.0.1/shownews.asp回车看到和原来的不一样,








这就说明存在Cookie注入。


二,利用Cookie注入入侵


  Cookie注入比SQL注入比较麻烦,如果用手工那更麻烦。大家使用寂寞的刺猬写的注入中转生成器







大家选择Cookie注入填入如下图










注入键名:写注入地址里面的变量名


注入URL地址和来源页:填的都一样,就是注入地址去掉变量的地址。


正常的Cookie值:一般不用写的,如果要登陆那就要抓Cookie在填上。


POST提交值:就是变量等于后面的值。


然后“点生成ASP”程序会生成一个ASP文件,在把这ASP文件放到能解析的地方,然后在啊D上访问


http://127.0.0.1/jmCook.asp?jmdcw=28








D检测出来有注入点了吧,然后在猜密码,再进一步入侵。


附件: 您需要登录才可以下载或查看附件。没有帐号?注册
1

评分人数

  • zx3112552

如果我變成流氓,請告訴別人,我曾純真過。。。。
]kin3's Blog 请勿入内

好啊···顶顶··
睡觉.....继续睡觉......

TOP

寂寞的刺猬

老大哥了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

顶~~~~~~~~~~~······

TOP

好啊,顶一个

TOP

受用了````

TOP

恩 绝对 要顶   哈哈

TOP

顶~~~~~~~~~~~······

TOP

很受用。:D :D 多发点这样的文章开心死

TOP

返回列表