前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >利用Cookie注入 绕过WAF

利用Cookie注入 绕过WAF

作者头像
C4rpeDime
发布2018-08-28 11:17:05
1.6K0
发布2018-08-28 11:17:05
举报
文章被收录于专栏:黑白安全

document.cookie:表示当前浏览器中的cookie变量

alert():表示弹出一个对话框,在该对话框中单击“确定”按钮确认信息。

escape():该函数用于对字符串进行编码。

cookie注入的原理在于更改本地的cookie,从而利用cookie来提交非法语句。

1.首先 对这个测试网站进行SQL注入测试

利用Cookie注入 绕过WAF 安全测试 第1张
利用Cookie注入 绕过WAF 安全测试 第1张

然而 我们发现此时 网站有WAF 对我们提交的参数进行了过滤

利用Cookie注入 绕过WAF 安全测试 第2张
利用Cookie注入 绕过WAF 安全测试 第2张

此时我们尝试使用Cookie注入 看看能不能绕过WAF进行注入

利用Cookie注入 绕过WAF 安全测试 第3张
利用Cookie注入 绕过WAF 安全测试 第3张

此时已经把ID注入进了Cookie里  然后我们不带参数ID=171 进行访问

利用Cookie注入 绕过WAF 安全测试 第4张
利用Cookie注入 绕过WAF 安全测试 第4张

我们发现  是可以正常访问的  那么就说明存在Cookie注入

然后我们进行SQL注入测试

利用Cookie注入 绕过WAF 安全测试 第5张
利用Cookie注入 绕过WAF 安全测试 第5张
利用Cookie注入 绕过WAF 安全测试 第6张
利用Cookie注入 绕过WAF 安全测试 第6张
利用Cookie注入 绕过WAF 安全测试 第7张
利用Cookie注入 绕过WAF 安全测试 第7张

我们发现 and 1=1 是可以正常访问的 

那么and 1=2 呢?

利用Cookie注入 绕过WAF 安全测试 第8张
利用Cookie注入 绕过WAF 安全测试 第8张

and 1=2 报错 所以说明 此URL存在 SQL注入

接下来可以使用手工注入方式进行SQL注入

这里就不演示了 直接看结果

利用Cookie注入 绕过WAF 安全测试 第9张
利用Cookie注入 绕过WAF 安全测试 第9张
利用Cookie注入 绕过WAF 安全测试 第10张
利用Cookie注入 绕过WAF 安全测试 第10张

注入完成!

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018-06-154,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档