Cookie注入查找与利用 入侵

流氓

转自[D.R.T]
现在一般的SQL注人都很少了,但COOKIEZ注人现在是满多的.嘿嘿.只要检测出有COOKIE注人,那可以说是比死.....(夸张)
那我就写一个Cookie注入查找与利用文章吧.
现在SQL注入都很少了，就算有也没有多大的用处。现在我就教大家怎么利用Cookie注入。Cookie注入就是饶过一些简单的防SQL注入程序，我们怎么可以看一个网站有Cookie注入啊。我就在本地架设个网站，大家在网上利用都是一样的。

一。判断是否Cookie注入

我们先找的连接

把地址http://127.0.0.1/shownews.asp?id=31换成javascript:alert(document.cookie="id="+escape("id and 1=1"))

Id改成31，javascript:alert(document.cookie="id="+escape("31 and 1=1"))

然后回车弹出对话框

然后在地址栏输入http://127.0.0.1/shownews.asp访问看到是正常页面

然后再在地址栏输入javascript:alert(document.cookie="id="+escape("id and 1=2"))然后回车出现如下

再在地址栏输入http://127.0.0.1/shownews.asp回车看到和原来的不一样，

这就说明存在Cookie注入。

二，利用Cookie注入入侵

  Cookie注入比SQL注入比较麻烦，如果用手工那更麻烦。大家使用寂寞的刺猬写的注入中转生成器

大家选择Cookie注入填入如下图

注入键名：写注入地址里面的变量名

注入URL地址和来源页：填的都一样，就是注入地址去掉变量的地址。

正常的Cookie值：一般不用写的，如果要登陆那就要抓Cookie在填上。

POST提交值：就是变量等于后面的值。

然后“点生成ASP”程序会生成一个ASP文件，在把这ASP文件放到能解析的地方，然后在啊D上访问

http://127.0.0.1/jmCook.asp?jmdcw=28，

啊D检测出来有注入点了吧，然后在猜密码，再进一步入侵。

zx3112552

好啊···顶顶··

柔肠寸断

寂寞的刺猬

老大哥了

didi19890323

顶~~~~~~~~~~~······

chengyichen

好啊，顶一个

wmmy

受用了````

wengguojun

恩 绝对 要顶   哈哈

爱国黑侠

顶~~~~~~~~~~~······

__┇靈魂＂

很受用。:D :D 多发点这样的文章开心死