欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

SQL注入之http Header与Cookie手工注入

程序员文章站 2024-03-19 21:27:04
...

SQL注入之http Header与Cookie手工注入

http Header注入

	先在 pikachu 平台打开 Http Header 注入模块,点击提示查看登录帐号和密码,登陆 
	去 BurpSuite 中找到登陆地 GET 请求
	把请求发送到 Repeater 模块中
	去除 User-Agent:,
	输入' 
	运行后观察 MYSQL 语法报错然后发现存在 SQL 注入漏洞。 
	这 时 候 可 以 设 置 payload 。 
	在 User-Agent 输 入 payload Mozilla' or updatexml(1,concat(0x7e,database ()),0) or '

Cookie注入

	Cookie 是网站为了识别用户身份来跟踪会话的,虽然 Cookie 是由后端生成的,但每次 
	页面跳转,后端都回对前端的 Cookie 的信息进行验证,但如果后端获取 Cookie 后放在数据库中进行拼接,那么这也将是一个 SQL 注入点。
	在 ant[uname]=admin 后添加一个’
	观察反馈的 MYSQL 的语法报错,发现了存在 SQL 注入漏洞,
	设置 Payload 'and updatexml (1,concat(0x7e,database()),0)#,观察报错和之前是否相同。